Cwmni Diogelwch effro am adnabod i Google Chrome, gan anfon data defnyddwyr cyfrinachol i weinyddion allanol. Roedd gan yr ychwanegion hefyd fynediad i dynnu sgrinluniau, darllen cynnwys y clipfwrdd, dadansoddi presenoldeb tocynnau mynediad mewn Cwcis, a rhyng-gipio mewnbwn ar ffurfiau gwe. Yn gyfan gwbl, roedd yr ategion maleisus a nodwyd yn 32.9 miliwn o lawrlwythiadau yn Chrome Web Store, a chafodd y mwyaf poblogaidd (Rheolwr Chwilio) ei lawrlwytho 10 miliwn o weithiau ac mae'n cynnwys 22 mil o adolygiadau.
Tybir bod yr holl ychwanegiadau ystyriol wedi'u paratoi gan un tîm o ymosodwyr, ers hynny i gyd cynllun nodweddiadol ar gyfer dosbarthu a threfnu cipio data cyfrinachol, yn ogystal ag elfennau dylunio cyffredin a chod ailadroddus. gyda chod maleisus wedi'u gosod yn y catalog Chrome Store ac eisoes wedi'u dileu ar ôl anfon hysbysiad am weithgaredd maleisus. Copïodd llawer o ategion maleisus ymarferoldeb amrywiol ychwanegion poblogaidd, gan gynnwys y rhai sydd â'r nod o ddarparu diogelwch porwr ychwanegol, cynyddu preifatrwydd chwilio, trosi PDF, a throsi fformat.
Yn gyntaf, postiodd datblygwyr ychwanegion fersiwn lân heb god maleisus yn Chrome Store, cael adolygiad gan gymheiriaid, ac yna ychwanegu newidiadau yn un o'r diweddariadau a lwythodd y cod maleisus ar ôl ei osod. I guddio olion gweithgaredd maleisus, defnyddiwyd techneg ymateb ddetholus hefyd - dychwelodd y cais cyntaf lawrlwythiad maleisus, a dychwelodd ceisiadau dilynol ddata anamheus.
Y prif ffyrdd y mae ychwanegion maleisus yn lledaenu yw trwy hyrwyddo gwefannau sy'n edrych yn broffesiynol (fel yn y llun isod) a lleoli yn Chrome Web Store, gan osgoi mecanweithiau dilysu ar gyfer lawrlwytho cod o wefannau allanol wedi hynny. Er mwyn osgoi'r cyfyngiadau ar osod ychwanegion yn unig o Chrome Web Store, dosbarthodd yr ymosodwyr gynulliadau ar wahân o Chromium gydag ychwanegion wedi'u gosod ymlaen llaw, a hefyd eu gosod trwy gymwysiadau hysbysebu (Adware) sydd eisoes yn bresennol yn y system. Dadansoddodd ymchwilwyr 100 o rwydweithiau o gwmnïau ariannol, cyfryngau, meddygol, fferyllol, olew a nwy a masnachu, yn ogystal â sefydliadau addysgol a llywodraeth, a chanfod olion presenoldeb yr ychwanegion maleisus ym mron pob un ohonynt.
Yn ystod yr ymgyrch i ddosbarthu ychwanegion maleisus, mwy na , yn croestorri â safleoedd poblogaidd (er enghraifft, gmaille.com, youtubeunblocked.net, ac ati) neu wedi'i gofrestru ar ôl i'r cyfnod adnewyddu ar gyfer parthau a oedd yn bodoli eisoes ddod i ben. Defnyddiwyd y parthau hyn hefyd yn y seilwaith rheoli gweithgaredd maleisus ac i lawrlwytho mewnosodiadau JavaScript maleisus a weithredwyd yng nghyd-destun y tudalennau a agorodd y defnyddiwr.
Roedd ymchwilwyr yn amau cynllwyn gyda chofrestrydd parth Galcomm, lle cofrestrwyd 15 mil o barthau ar gyfer gweithgareddau maleisus (60% o'r holl barthau a gyhoeddwyd gan y cofrestrydd hwn), ond cynrychiolwyr Galcomm Roedd y rhagdybiaethau hyn yn dangos bod 25% o'r parthau rhestredig eisoes wedi'u dileu neu heb eu cyhoeddi gan Galcomm, ac mae'r gweddill, bron bob un yn barthau parcio anweithredol. Dywedodd cynrychiolwyr Galcomm hefyd nad oedd neb wedi cysylltu â nhw cyn i’r adroddiad gael ei ddatgelu’n gyhoeddus, a chawsant restr o barthau a ddefnyddiwyd at ddibenion maleisus gan drydydd parti a’u bod bellach yn cynnal eu dadansoddiad arnynt.
Mae'r ymchwilwyr a nododd y broblem yn cymharu'r ychwanegion maleisus gyda rootkit newydd - mae prif weithgaredd llawer o ddefnyddwyr yn cael ei wneud trwy borwr, lle maent yn cyrchu storfa dogfennau a rennir, systemau gwybodaeth corfforaethol a gwasanaethau ariannol. Mewn amodau o'r fath, nid yw'n gwneud unrhyw synnwyr i ymosodwyr chwilio am ffyrdd o gyfaddawdu'r system weithredu yn llwyr er mwyn gosod rootkit llawn - mae'n llawer haws gosod ychwanegiad porwr maleisus a rheoli llif data cyfrinachol trwyddo. mae'n. Yn ogystal â monitro data cludo, gall yr ychwanegyn ofyn am ganiatâd i gael mynediad at ddata lleol, camera gwe, neu leoliad. Fel y dengys arfer, nid yw'r rhan fwyaf o ddefnyddwyr yn talu sylw i'r caniatâd y gofynnwyd amdano, ac mae 80% o'r 1000 o ychwanegion poblogaidd yn gofyn am fynediad i ddata'r holl dudalennau wedi'u prosesu.
Ffynhonnell: opennet.ru