Probuďte se bezpečnostní společnosti o identifikaci do Google Chrome, odesílání důvěrných uživatelských dat na externí servery. Doplňky měly také přístup k pořizování snímků obrazovky, čtení obsahu schránky, analyzování přítomnosti přístupových tokenů v souborech cookie a zachycování vstupů ve webových formulářích. Celkem si identifikované škodlivé doplňky v Internetovém obchodě Chrome stáhly celkem 32.9 milionu a nejpopulárnější (Search Manager) byl stažen 10 milionůkrát a obsahuje 22 tisíc recenzí.
Předpokládá se, že všechny uvažované doplňky připravil jeden tým útočníků, protože celkem typické schéma pro distribuci a organizaci zachycení důvěrných dat, stejně jako společné prvky návrhu a opakovaný kód. se škodlivým kódem byly umístěny do katalogu Chrome Store a byly již smazány po odeslání upozornění na škodlivou aktivitu. Mnoho škodlivých doplňků zkopírovalo funkce různých populárních doplňků, včetně těch, jejichž cílem je poskytnout další zabezpečení prohlížeče, zvýšit soukromí při vyhledávání, převod PDF a převod formátu.
Vývojáři doplňků nejprve zveřejnili čistou verzi bez škodlivého kódu v Chrome Store, prošli peer review a poté přidali změny v jedné z aktualizací, která po instalaci načetla škodlivý kód. Ke skrytí stop po škodlivé činnosti byla také použita technika selektivní odezvy – první požadavek vrátil škodlivé stahování a další požadavky vrátily nepodezřelá data.
Hlavní způsoby, jak se škodlivé doplňky šíří, jsou propagace profesionálně vypadajících stránek (jako na obrázku níže) a umístění v Internetovém obchodě Chrome, obcházení ověřovacích mechanismů pro následné stahování kódu z externích stránek. Aby se obešli omezení týkající se instalace doplňků pouze z Internetového obchodu Chrome, útočníci distribuovali samostatné sestavy Chromia s předinstalovanými doplňky a také je instalovali prostřednictvím reklamních aplikací (Adware), které již v systému byly. Výzkumníci analyzovali 100 sítí finančních, mediálních, lékařských, farmaceutických, ropných a plynárenských a obchodních společností, stejně jako vzdělávacích a vládních institucí, a téměř ve všech našli stopy přítomnosti škodlivých doplňků.
Během kampaně na distribuci škodlivých doplňků více než , protínající se s oblíbenými stránkami (například gmaille.com, youtubeunblocked.net atd.) nebo registrované po uplynutí doby obnovení pro dříve existující domény. Tyto domény byly také použity v infrastruktuře pro správu škodlivých aktivit a ke stažení škodlivých vložení JavaScriptu, které byly spuštěny v kontextu stránek, které uživatel otevřel.
Výzkumníci měli podezření na spiknutí s registrátorem domén Galcomm, ve kterém bylo zaregistrováno 15 tisíc domén pro zákeřné aktivity (60 % všech domén vydaných tímto registrátorem), ale zástupci Galcommu Tyto předpoklady naznačovaly, že 25 % uvedených domén již bylo smazáno nebo nebyly vydány společností Galcomm, a zbytek, téměř všechny, jsou neaktivními zaparkovanými doménami. Zástupci společnosti Galcomm také uvedli, že je před zveřejněním zprávy nikdo nekontaktoval a od třetí strany obdrželi seznam domén používaných pro škodlivé účely a nyní na nich provádějí analýzu.
Výzkumníci, kteří problém identifikovali, porovnávají škodlivé doplňky s novým rootkitem – hlavní činnost mnoha uživatelů probíhá prostřednictvím prohlížeče, přes který přistupují ke sdíleným úložištím dokumentů, podnikovým informačním systémům a finančním službám. V takových podmínkách nemá pro útočníky smysl hledat způsoby, jak zcela kompromitovat operační systém, aby si mohli nainstalovat plnohodnotný rootkit – mnohem snazší je nainstalovat škodlivý doplněk prohlížeče a kontrolovat tok důvěrných dat přes to. Kromě sledování dat o přepravě může doplněk vyžadovat oprávnění pro přístup k místním datům, webové kameře nebo umístění. Jak ukazuje praxe, většina uživatelů nevěnuje pozornost požadovaným oprávněním a 80 % z 1000 oblíbených doplňků požaduje přístup k datům všech zpracovávaných stránek.
Zdroj: opennet.ru