Cumpagnia di Sicurezza Awake circa l'identificazione à Google Chrome, mandendu dati di l'utilizatori cunfidenziale à i servitori esterni. L'add-ons anu ancu accessu à piglià screenshots, leghje u cuntenutu di u clipboard, analizà a presenza di tokens d'accessu in Cookies, è intercepting input in forme web. In totale, l'add-ons maliziusi identificati sò stati 32.9 milioni di scaricamentu in Chrome Web Store, è u più populari (Search Manager) hè statu scaricatu 10 milioni di volte è include 22 mila recensioni.
Hè presumitu chì tutti l'aghjunzione cunsiderate sò stati preparati da una squadra di attaccanti, postu chì in tuttu un schema tipicu per a distribuzione è l'urganizazione di a cattura di dati cunfidenziale, è ancu elementi cumuni di designu è codice ripetutu. cù codice maliziusu sò stati posti in u catalogu di Chrome Store è sò digià sguassati dopu avè mandatu una notificazione nantu à l'attività maliziosa. Molti add-ons maliziusi copianu a funziunalità di diversi add-ons populari, cumpresi quelli chì sò destinati à furnisce una sicurezza di navigatore supplementu, aumentendu a privacy di ricerca, cunversione PDF è cunversione di furmatu.
I sviluppatori di add-on anu publicatu prima una versione pulita senza codice maliziusu in u Chrome Store, sò sottumessi à una revisione di i parenti, è dopu aghjunghjenu cambiamenti in una di l'aghjurnamenti chì caricavanu codice maliziusu dopu a stallazione. Per ammuccià e tracce di attività maliciosa, una tecnica di risposta selettiva hè stata ancu utilizata - a prima dumanda hà tornatu una scaricata maliziosa, è e richieste sussegwente anu tornatu dati insospetti.
I modi principali in quale si sparghje l'add-ons maliziusi sò attraversu a prumuzione di siti d'aspettu prufessiunale (cum'è in a stampa sottu) è u piazzamentu in a Chrome Web Store, sguassendu i meccanismi di verificazione per u scaricamentu di codice da i siti esterni. Per scaccià e restrizioni à installà add-ons solu da a Chrome Web Store, l'attaccanti distribuitu assemblei separati di Chromium cù add-ons pre-installati, è ancu stallati attraversu l'applicazioni di publicità (Adware) digià prisenti in u sistema. I ricerchi anu analizatu 100 rete di cumpagnie finanziarie, media, mediche, farmaceutiche, petrolifere è di gas è cummerciale, è ancu istituzioni educative è di guvernu, è truvaru tracce di a presenza di add-ons maliziusi in quasi tutti.
Durante a campagna per distribuisce add-ons maliziusi, più di , intersecendu cù siti populari (per esempiu, gmaille.com, youtubeunblocked.net, etc.) o arregistrati dopu a scadenza di u periodu di rinnuvamentu per i duminii esistenti prima. Questi duminii sò stati ancu utilizati in l'infrastruttura di gestione di l'attività maliciosa è per scaricà inseriti JavaScript maliziusi chì sò stati eseguiti in u cuntestu di e pagine chì l'utilizatore hà apertu.
I ricercatori suspettavanu una cuspirazione cù u registratu di u duminiu Galcomm, in quale 15 mila domini per attività maliziusi sò stati registrati (60% di tutti i domini emessi da stu registratore), ma i rapprisentanti di Galcomm. Queste supposizioni indicanu chì u 25% di i duminii listati sò digià sguassati o ùn sò micca stati emessi da Galcomm, è u restu, quasi tutti sò duminii parcheggiati inattivi. I rapprisentanti di Galcomm anu ancu infurmatu chì nimu hà cuntattatu prima di a divulgazione publica di u rapportu, è anu ricivutu una lista di duminii utilizati per scopi maliziusi da una terza parte è avà facenu a so analisi nantu à elli.
I circadori chì identificanu u prublema paragunanu l'add-ons maliziusi cù un novu rootkit - l'attività principale di parechji utilizatori hè realizatu per mezu di un navigatore, attraversu quale accede à l'almacenamiento di documenti spartutu, sistemi d'infurmazione corporativa è servizii finanziarii. In tali cundizioni, ùn hà micca sensu per l'attaccanti cercà modi per cumprumette cumplettamente u sistema operatore per installà un rootkit cumpletu - hè assai più faciule d'installà un add-on di navigatore maliziusu è cuntrullà u flussu di dati cunfidenziale attraversu. lu. In più di monitorà i dati di transitu, l'add-on pò dumandà permessi per accede à e dati lucali, una camera web, o locu. Comu a pratica mostra, a maiò parte di l'utilizatori ùn prestanu micca attenzione à i permessi dumandati, è u 80% di i 1000 add-ons populari dumandanu accessu à e dati di tutte e pagine trattate.
Source: opennet.ru