Кампанія Awake Security аб выяўленні да Google Chrome, якія адпраўляюць на вонкавыя серверы канфідэнцыйныя дадзеныя карыстача. У тым ліку дадаткі мелі доступ да стварэння скрыншотаў, чытання змесціва буфера абмену, аналізу наяўнасці токенаў доступу ў Cookie і перахопу ўводу ў web-формах. У суме выяўленыя шкоднасныя дадаткі налічвалі 32.9 загрузак у Chrome Web Store, а самае папулярнае (Sеarch Manager), a было загружана 10 млн разоў і ўключае 22 тысячы водгукаў.
Мяркуецца, што ўсе разгледжаныя дапаўненні падрыхтаваны адной камандай зламыснікаў, бо ва ўсіх. тыпавая схема распаўсюджвання і арганізацыі захопу канфідэнцыйных дадзеных, а таксама сустракаюцца агульныя элементы дызайну і паўтаральны код. з шкоднасным кодам былі размешчаны ў каталогу Chrome Store і ўжо выдалены пасля адпраўкі апавяшчэння аб шкоднаснай актыўнасці. Многія шкоднасныя дапаўненні капіявалі функцыянальнасць розных папулярных дапаўненняў, у тым ліку накіраваных на забеспячэнне дадатковай абароны браўзэра, павышэнне прыватнасці пры пошуку, пераўтварэнні PDF і канвертацыі фарматаў.
Распрацоўнікі дадаткаў спачатку размяшчалі ў Chrome Store чыстую версію без шкоднаснага кода, праходзілі рэцэнзаванне, а потым у адным з абнаўленняў дадавалі змены, якія падгружалі шкоднасны код пасля ўсталёўкі. Для ўтойвання слядоў шкоднаснай актыўнасці таксама ўжывалася тэхніка выбарачных адказаў - пры першым запыце выдавалася шкоднасная загрузка, а пры наступных не выклікалыя падазроны дадзеныя.
У якасці асноўных шляхоў распаўсюджвання шкоднасных дадаткаў вылучаецца пасоўванне прафесійна якія выглядаюць сайтаў (як на малюнку ніжэй) і размяшчэнне ў Chrome Web Store, абыходзячы механізмы праверкі для наступнай загрузкі кода з вонкавых сайтаў. Для абыходу абмежаванняў па ўсталёўцы дадаткаў толькі з Chrome Web Store атакавалымі распаўсюджваліся асобныя зборкі Chromium з прадусталяванымі дадаткамі, а таксама выраблялася ўсталёўка праз ужо прысутныя ў сістэме рэкламныя прыкладанні (Adware). Даследнікі прааналізавалі 100 сетак фінансавых, медыйных, медыцынскіх, фармацэўтычных, нафтагазавых і гандлёвых кампаній, а таксама адукацыйных і дзяржустаноў, і амаль ва ўсіх з іх выявілі сляды наяўнасці разгляданых шкоднасных дадаткаў.
У ходзе кампаніі па распаўсюджванні шкоднасных дапаўненняў было зарэгістравана больш , якія перасякаюцца з папулярнымі сайтамі (напрыклад, gmaille.com, youtubeunblocked.net і да т.п.) або зарэгістраванымі пасля заканчэння тэрміну падаўжэння раней існуючых даменаў. Дадзеныя дамены таксама выкарыстоўваліся ў інфраструктуры кіравання шкоднаснай актыўнасцю і для загрузкі шкоднасных JavaScript-уставак, выкананых у кантэксце адчыняных карыстачом старонак.
Даследнікі западозрылі змову з рэгістратарам даменаў Galcomm, у якім былі зарэгістраваны 15 тысяч даменаў для шкоднасных дзеянняў (60% ад усіх выдадзеных дадзеным рэгістратарам даменаў), але прадстаўнікі Galcomm гэтыя здагадкі і паказалі, што 25% з пералічаных даменаў ужо выдалены ці выдадзены не Galcomm, а астатнія амаль усе з'яўляюцца неактыўнымі прыпаркаванымі даменамі. Прадстаўнікі Galcomm таксама паведамілі, што да публічнага раскрыцця справаздачы да іх ніхто не звяртаўся, і яны атрымалі спіс даменаў, якія ўжываюцца для шкоднасных мэт, ад трэцяй асобы і зараз праводзяць па іх свой разбор.
Даследнікі, якія выявілі праблему, параўноўваюць шкоднасныя дапаўненні з новым руткітам — асноўная дзейнасць многіх карыстальнікаў вядзецца праз браўзэр, праз які ажыццяўляецца доступ да сумесных сховішчаў дакументаў, карпаратыўных інфармацыйных сістэм і фінансавых сэрвісаў. Зламыснікам у такіх умовах няма сэнсу шукаць шляхі поўнай кампраметацыі аперацыйнай сістэмы для ўсталёўкі паўнавартаснага руткіта, - значна прасцей дамагчыся ўсталёўкі шкоднаснага браузернага дадатку і кантраляваць праз яго струмені канфідэнцыйных дадзеных. Акрамя кантролю за транзітнымі дадзенымі дадатак можа запытаць паўнамоцтвы для доступу да лакальных дадзеных, web-камеры, месцазнаходжання. Як паказвае практыка, большасць карыстачоў не зважаюць на запытаныя паўнамоцтвы, а 80% з 1000 папулярных дадаткаў запытваюць доступ да дадзеных усіх апрацоўваных старонак.
Крыніца: opennet.ru