Probuďte se bezpečnostní společnosti
Předpokládá se, že všechny uvažované doplňky připravil jeden tým útočníků, protože celkem
Vývojáři doplňků nejprve zveřejnili čistou verzi bez škodlivého kódu v Chrome Store, prošli peer review a poté přidali změny v jedné z aktualizací, která po instalaci načetla škodlivý kód. Ke skrytí stop po škodlivé činnosti byla také použita technika selektivní odezvy – první požadavek vrátil škodlivé stahování a další požadavky vrátily nepodezřelá data.
Hlavní způsoby, jak se škodlivé doplňky šíří, jsou propagace profesionálně vypadajících stránek (jako na obrázku níže) a umístění v Internetovém obchodě Chrome, obcházení ověřovacích mechanismů pro následné stahování kódu z externích stránek. Aby se obešli omezení týkající se instalace doplňků pouze z Internetového obchodu Chrome, útočníci distribuovali samostatné sestavy Chromia s předinstalovanými doplňky a také je instalovali prostřednictvím reklamních aplikací (Adware), které již v systému byly. Výzkumníci analyzovali 100 sítí finančních, mediálních, lékařských, farmaceutických, ropných a plynárenských a obchodních společností, stejně jako vzdělávacích a vládních institucí, a téměř ve všech našli stopy přítomnosti škodlivých doplňků.
Během kampaně na distribuci škodlivých doplňků více než
Výzkumníci měli podezření na spiknutí s registrátorem domén Galcomm, ve kterém bylo zaregistrováno 15 tisíc domén pro zákeřné aktivity (60 % všech domén vydaných tímto registrátorem), ale zástupci Galcommu
Výzkumníci, kteří problém identifikovali, porovnávají škodlivé doplňky s novým rootkitem – hlavní činnost mnoha uživatelů probíhá prostřednictvím prohlížeče, přes který přistupují ke sdíleným úložištím dokumentů, podnikovým informačním systémům a finančním službám. V takových podmínkách nemá pro útočníky smysl hledat způsoby, jak zcela kompromitovat operační systém, aby si mohli nainstalovat plnohodnotný rootkit – mnohem snazší je nainstalovat škodlivý doplněk prohlížeče a kontrolovat tok důvěrných dat přes to. Kromě sledování dat o přepravě může doplněk vyžadovat oprávnění pro přístup k místním datům, webové kameře nebo umístění. Jak ukazuje praxe, většina uživatelů nevěnuje pozornost požadovaným oprávněním a 80 % z 1000 oblíbených doplňků požaduje přístup k datům všech zpracovávaných stránek.
Zdroj: opennet.ru