Awake Security Company o identifikaciji na Google Chrome, šaljući povjerljive korisničke podatke na eksterne servere. Dodaci su takođe imali pristup pravljenju snimaka ekrana, čitanju sadržaja međuspremnika, analizi prisustva tokena pristupa u kolačićima i presretanju unosa u web formama. Ukupno, identificirani zlonamjerni dodaci su ukupno preuzeli 32.9 miliona preuzimanja u Chrome web prodavnici, a najpopularniji (Search Manager) preuzet je 10 miliona puta i uključuje 22 hiljade recenzija.
Pretpostavlja se da je sva razmatrana dodavanja pripremila jedna ekipa napadača, budući da je sve tipična šema za distribuciju i organizaciju prikupljanja povjerljivih podataka, kao i zajednički elementi dizajna i ponovljeni kod. sa zlonamjernim kodom su stavljeni u Chrome Store katalog i već su izbrisani nakon slanja obavještenja o zlonamjernoj aktivnosti. Mnogi zlonamjerni dodaci kopirali su funkcionalnost raznih popularnih dodataka, uključujući one koji imaju za cilj pružanje dodatne sigurnosti preglednika, povećanje privatnosti pretraživanja, konverziju PDF-a i konverziju formata.
Programeri dodataka su prvo objavili čistu verziju bez zlonamjernog koda u Chrome Store-u, prošli recenziju, a zatim dodali promjene u jednom od ažuriranja koje je učitavalo zlonamjerni kod nakon instalacije. Kako bi se sakrili tragovi zlonamjerne aktivnosti, korištena je i tehnika selektivnog odgovora - prvi zahtjev je vratio zlonamjerno preuzimanje, a sljedeći zahtjevi su vraćali nesumnjive podatke.
Glavni načini širenja zlonamjernih dodataka su promocija stranica profesionalnog izgleda (kao na slici ispod) i postavljanje u Chrome web prodavnicu, zaobilazeći mehanizme verifikacije za naknadno preuzimanje koda sa vanjskih stranica. Kako bi zaobišli ograničenja za instaliranje dodataka samo iz Chrome web trgovine, napadači su distribuirali zasebne sklopove Chromiuma s unaprijed instaliranim dodacima, a također su ih instalirali putem reklamnih aplikacija (Adware) koje su već prisutne u sistemu. Istraživači su analizirali 100 mreža finansijskih, medijskih, medicinskih, farmaceutskih, naftnih i gasnih i trgovačkih kompanija, kao i obrazovnih i državnih institucija, i u gotovo svim su pronašli tragove prisustva zlonamernih dodataka.
Tokom kampanje za distribuciju zlonamjernih dodataka, više od , koji se ukrštaju s popularnim stranicama (na primjer, gmaille.com, youtubeunblocked.net, itd.) ili registrovani nakon isteka perioda obnove za prethodno postojeće domene. Ovi domeni su također korišteni u infrastrukturi za upravljanje zlonamjernim aktivnostima i za preuzimanje zlonamjernih JavaScript umetaka koji su se izvršavali u kontekstu stranica koje je korisnik otvorio.
Istraživači su sumnjali u zavjeru sa registratorom domena Galcomm, u kojem je registrirano 15 hiljada domena za zlonamjerne aktivnosti (60% svih domena koje je izdao ovaj registrator), ali predstavnici Galcomma Ove pretpostavke su pokazale da je 25% navedenih domena već obrisano ili ih nije izdao Galcomm, a ostali, gotovo svi su neaktivni parkirani domeni. Predstavnici Galcomma su također izvijestili da ih prije javnog objavljivanja prijave niko nije kontaktirao, a od treće strane su dobili listu domena koji se koriste u zlonamjerne svrhe i sada provode njihovu analizu.
Istraživači koji su identifikovali problem upoređuju zlonamerne dodatke sa novim rootkitom – glavna aktivnost mnogih korisnika se obavlja preko pretraživača, preko kojeg pristupaju zajedničkom skladištenju dokumenata, korporativnim informacionim sistemima i finansijskim uslugama. U takvim uslovima, nema smisla da napadači traže načine da potpuno kompromituju operativni sistem kako bi instalirali punopravni rootkit - mnogo je lakše instalirati maliciozni dodatak za pretraživač i kontrolisati protok poverljivih podataka kroz to. Osim praćenja podataka o tranzitu, dodatak može tražiti dozvole za pristup lokalnim podacima, web kameri ili lokaciji. Kao što pokazuje praksa, većina korisnika ne obraća pažnju na tražene dozvole, a 80% od 1000 popularnih dodataka traži pristup podacima svih obrađenih stranica.
izvor: opennet.ru