Кампанія Awake Security
Мяркуецца, што ўсе разгледжаныя дапаўненні падрыхтаваны адной камандай зламыснікаў, бо ва ўсіх.
Распрацоўнікі дадаткаў спачатку размяшчалі ў Chrome Store чыстую версію без шкоднаснага кода, праходзілі рэцэнзаванне, а потым у адным з абнаўленняў дадавалі змены, якія падгружалі шкоднасны код пасля ўсталёўкі. Для ўтойвання слядоў шкоднаснай актыўнасці таксама ўжывалася тэхніка выбарачных адказаў - пры першым запыце выдавалася шкоднасная загрузка, а пры наступных не выклікалыя падазроны дадзеныя.
У якасці асноўных шляхоў распаўсюджвання шкоднасных дадаткаў вылучаецца пасоўванне прафесійна якія выглядаюць сайтаў (як на малюнку ніжэй) і размяшчэнне ў Chrome Web Store, абыходзячы механізмы праверкі для наступнай загрузкі кода з вонкавых сайтаў. Для абыходу абмежаванняў па ўсталёўцы дадаткаў толькі з Chrome Web Store атакавалымі распаўсюджваліся асобныя зборкі Chromium з прадусталяванымі дадаткамі, а таксама выраблялася ўсталёўка праз ужо прысутныя ў сістэме рэкламныя прыкладанні (Adware). Даследнікі прааналізавалі 100 сетак фінансавых, медыйных, медыцынскіх, фармацэўтычных, нафтагазавых і гандлёвых кампаній, а таксама адукацыйных і дзяржустаноў, і амаль ва ўсіх з іх выявілі сляды наяўнасці разгляданых шкоднасных дадаткаў.
У ходзе кампаніі па распаўсюджванні шкоднасных дапаўненняў было зарэгістравана больш
Даследнікі западозрылі змову з рэгістратарам даменаў Galcomm, у якім былі зарэгістраваны 15 тысяч даменаў для шкоднасных дзеянняў (60% ад усіх выдадзеных дадзеным рэгістратарам даменаў), але прадстаўнікі Galcomm
Даследнікі, якія выявілі праблему, параўноўваюць шкоднасныя дапаўненні з новым руткітам — асноўная дзейнасць многіх карыстальнікаў вядзецца праз браўзэр, праз які ажыццяўляецца доступ да сумесных сховішчаў дакументаў, карпаратыўных інфармацыйных сістэм і фінансавых сэрвісаў. Зламыснікам у такіх умовах няма сэнсу шукаць шляхі поўнай кампраметацыі аперацыйнай сістэмы для ўсталёўкі паўнавартаснага руткіта, - значна прасцей дамагчыся ўсталёўкі шкоднаснага браузернага дадатку і кантраляваць праз яго струмені канфідэнцыйных дадзеных. Акрамя кантролю за транзітнымі дадзенымі дадатак можа запытаць паўнамоцтвы для доступу да лакальных дадзеных, web-камеры, месцазнаходжання. Як паказвае практыка, большасць карыстачоў не зважаюць на запытаныя паўнамоцтвы, а 80% з 1000 папулярных дадаткаў запытваюць доступ да дадзеных усіх апрацоўваных старонак.
Крыніца: opennet.ru