Companyia de seguretat desperta sobre la identificació a Google Chrome, enviant dades confidencials d'usuari a servidors externs. Els complements també tenien accés per fer captures de pantalla, llegir el contingut del porta-retalls, analitzar la presència de fitxes d'accés a les galetes i interceptar l'entrada en formularis web. En total, els complements maliciosos identificats van ascendir a 32.9 milions de descàrregues a Chrome Web Store, i el més popular (Search Manager) es va descarregar 10 milions de vegades i inclou 22 mil ressenyes.
Se suposa que totes les incorporacions considerades van ser preparades per un equip d'atacants, ja que en total un esquema típic per distribuir i organitzar la captura de dades confidencials, així com elements de disseny comuns i codi repetit. amb codi maliciós es van col·locar al catàleg de Chrome Store i ja es van suprimir després d'enviar una notificació sobre activitats malicioses. Molts complements maliciosos van copiar la funcionalitat de diversos complements populars, inclosos els destinats a proporcionar seguretat addicional al navegador, augmentar la privadesa de la cerca, la conversió de PDF i la conversió de format.
Els desenvolupadors de complements van publicar primer una versió neta sense codi maliciós a Chrome Store, es van sotmetre a una revisió per parells i després van afegir canvis en una de les actualitzacions que van carregar codi maliciós després de la instal·lació. Per ocultar rastres d'activitat maliciosa, també es va utilitzar una tècnica de resposta selectiva: la primera sol·licitud retornava una descàrrega maliciosa i les peticions posteriors retornaven dades no sospitoses.
Les principals maneres de propagar-se els complements maliciosos són mitjançant la promoció de llocs d'aspecte professional (com a la imatge següent) i la col·locació a Chrome Web Store, evitant els mecanismes de verificació per a la posterior descàrrega de codi de llocs externs. Per evitar les restriccions d'instal·lació de complements només des de Chrome Web Store, els atacants van distribuir conjunts separats de Chromium amb complements preinstal·lats i també els van instal·lar mitjançant aplicacions publicitàries (Adware) ja presents al sistema. Els investigadors van analitzar 100 xarxes de companyies financeres, mediàtiques, mèdiques, farmacèutiques, petrolieres i de gas i comercials, així com institucions educatives i governamentals, i van trobar rastres de la presència dels complements maliciosos en gairebé totes elles.
Durant la campanya per distribuir complements maliciosos, més de , que s'entrecreuen amb llocs populars (per exemple, gmaille.com, youtubeunblocked.net, etc.) o registrats després de l'expiració del període de renovació de dominis existents anteriorment. Aquests dominis també es van utilitzar en la infraestructura de gestió d'activitats malicioses i per descarregar insercions de JavaScript malicioses que s'executaven en el context de les pàgines que l'usuari obria.
Els investigadors van sospitar d'una conspiració amb el registrador de dominis de Galcomm, en què es van registrar 15 mil dominis per a activitats malicioses (el 60% de tots els dominis emesos per aquest registrador), però els representants de Galcomm Aquests supòsits indicaven que el 25% dels dominis enumerats ja s'han esborrat o no han estat emesos per Galcomm, i la resta, gairebé tots són dominis aparcats inactius. Els representants de Galcomm també van informar que ningú es va posar en contacte amb ells abans de la divulgació pública de l'informe i que van rebre una llista de dominis utilitzats amb finalitats malicioses d'un tercer i ara estan duent a terme la seva anàlisi sobre ells.
Els investigadors que van identificar el problema comparen els complements maliciosos amb un nou rootkit: l'activitat principal de molts usuaris es realitza a través d'un navegador, a través del qual accedeixen a l'emmagatzematge de documents compartits, sistemes d'informació corporatius i serveis financers. En aquestes condicions, no té sentit que els atacants busquin maneres de comprometre completament el sistema operatiu per instal·lar un rootkit complet: és molt més fàcil instal·lar un complement de navegador maliciós i controlar el flux de dades confidencials a través de això. A més de supervisar les dades de trànsit, el complement pot sol·licitar permisos per accedir a dades locals, una càmera web o una ubicació. Com mostra la pràctica, la majoria dels usuaris no fan atenció als permisos sol·licitats i el 80% dels 1000 complements populars sol·liciten accés a les dades de totes les pàgines processades.
Font: opennet.ru
