Awake Security Company
Pretpostavlja se da je sva razmatrana dodavanja pripremila jedna ekipa napadača, budući da je sve
Programeri dodataka su prvo objavili čistu verziju bez zlonamjernog koda u Chrome Store-u, prošli recenziju, a zatim dodali promjene u jednom od ažuriranja koje je učitavalo zlonamjerni kod nakon instalacije. Kako bi se sakrili tragovi zlonamjerne aktivnosti, korištena je i tehnika selektivnog odgovora - prvi zahtjev je vratio zlonamjerno preuzimanje, a sljedeći zahtjevi su vraćali nesumnjive podatke.
Glavni načini širenja zlonamjernih dodataka su promocija stranica profesionalnog izgleda (kao na slici ispod) i postavljanje u Chrome web prodavnicu, zaobilazeći mehanizme verifikacije za naknadno preuzimanje koda sa vanjskih stranica. Kako bi zaobišli ograničenja za instaliranje dodataka samo iz Chrome web trgovine, napadači su distribuirali zasebne sklopove Chromiuma s unaprijed instaliranim dodacima, a također su ih instalirali putem reklamnih aplikacija (Adware) koje su već prisutne u sistemu. Istraživači su analizirali 100 mreža finansijskih, medijskih, medicinskih, farmaceutskih, naftnih i gasnih i trgovačkih kompanija, kao i obrazovnih i državnih institucija, i u gotovo svim su pronašli tragove prisustva zlonamernih dodataka.
Tokom kampanje za distribuciju zlonamjernih dodataka, više od
Istraživači su sumnjali u zavjeru sa registratorom domena Galcomm, u kojem je registrirano 15 hiljada domena za zlonamjerne aktivnosti (60% svih domena koje je izdao ovaj registrator), ali predstavnici Galcomma
Istraživači koji su identifikovali problem upoređuju zlonamerne dodatke sa novim rootkitom – glavna aktivnost mnogih korisnika se obavlja preko pretraživača, preko kojeg pristupaju zajedničkom skladištenju dokumenata, korporativnim informacionim sistemima i finansijskim uslugama. U takvim uslovima, nema smisla da napadači traže načine da potpuno kompromituju operativni sistem kako bi instalirali punopravni rootkit - mnogo je lakše instalirati maliciozni dodatak za pretraživač i kontrolisati protok poverljivih podataka kroz to. Osim praćenja podataka o tranzitu, dodatak može tražiti dozvole za pristup lokalnim podacima, web kameri ili lokaciji. Kao što pokazuje praksa, većina korisnika ne obraća pažnju na tražene dozvole, a 80% od 1000 popularnih dodataka traži pristup podacima svih obrađenih stranica.
izvor: opennet.ru