شركة اليقظة للأمن
ومن المفترض أن جميع الإضافات المدروسة تم إعدادها من قبل فريق واحد من المهاجمين، منذ ذلك الحين
قام مطورو الوظائف الإضافية أولاً بنشر إصدار نظيف بدون تعليمات برمجية ضارة في متجر Chrome، وخضعوا لمراجعة النظراء، ثم أضافوا تغييرات في أحد التحديثات التي أدت إلى تحميل تعليمات برمجية ضارة بعد التثبيت. لإخفاء آثار النشاط الضار، تم أيضًا استخدام تقنية الاستجابة الانتقائية - حيث أعاد الطلب الأول تنزيلًا ضارًا، وأعادت الطلبات اللاحقة بيانات غير مشبوهة.
الطرق الرئيسية التي تنتشر بها الوظائف الإضافية الضارة هي من خلال الترويج للمواقع ذات المظهر الاحترافي (كما في الصورة أدناه) ووضعها في سوق Chrome الإلكتروني، وتجاوز آليات التحقق للتنزيل اللاحق للتعليمات البرمجية من مواقع خارجية. لتجاوز القيود المفروضة على تثبيت الوظائف الإضافية فقط من متجر Chrome Web Store، قام المهاجمون بتوزيع مجموعات منفصلة من Chromium مع الوظائف الإضافية المثبتة مسبقًا، وقاموا أيضًا بتثبيتها من خلال تطبيقات الإعلانات (Adware) الموجودة بالفعل في النظام. وقام الباحثون بتحليل 100 شبكة من الشركات المالية والإعلامية والطبية والصيدلانية والنفط والغاز والشركات التجارية، بالإضافة إلى المؤسسات التعليمية والحكومية، ووجدوا آثارًا لوجود الإضافات الضارة في جميعها تقريبًا.
خلال الحملة لتوزيع الوظائف الإضافية الضارة، أكثر من
اشتبه الباحثون في وجود مؤامرة مع مسجل نطاقات Galcomm، حيث تم تسجيل 15 ألف نطاق للأنشطة الضارة (60% من جميع النطاقات الصادرة عن هذا المسجل)، لكن ممثلي Galcomm
قام الباحثون الذين حددوا المشكلة بمقارنة الوظائف الإضافية الضارة مع برنامج rootkit الجديد - ويتم تنفيذ النشاط الرئيسي للعديد من المستخدمين من خلال متصفح، يمكنهم من خلاله الوصول إلى تخزين المستندات المشترك وأنظمة معلومات الشركة والخدمات المالية. في مثل هذه الظروف، ليس من المنطقي أن يبحث المهاجمون عن طرق لتسوية نظام التشغيل بالكامل من أجل تثبيت برنامج rootkit كامل - فمن الأسهل بكثير تثبيت وظيفة إضافية ضارة للمتصفح والتحكم في تدفق البيانات السرية من خلاله هو - هي. بالإضافة إلى مراقبة بيانات النقل، يمكن للوظيفة الإضافية أن تطلب أذونات للوصول إلى البيانات المحلية أو كاميرا الويب أو الموقع. كما تظهر الممارسة، فإن معظم المستخدمين لا ينتبهون إلى الأذونات المطلوبة، وتطلب 80٪ من الإضافات الشائعة البالغ عددها 1000 إضافة الوصول إلى بيانات جميع الصفحات التي تمت معالجتها.
المصدر: opennet.ru