Awake Security Company
Det antages, at alle de overvejede tilføjelser blev udarbejdet af et hold angribere, da i alt
Tilføjelsesudviklere postede først en ren version uden skadelig kode i Chrome Store, gennemgik peer review og tilføjede derefter ændringer i en af de opdateringer, der indlæste skadelig kode efter installationen. For at skjule spor af ondsindet aktivitet blev der også brugt en selektiv responsteknik - den første anmodning returnerede en ondsindet download, og efterfølgende anmodninger returnerede mistænkelige data.
De vigtigste måder, hvorpå ondsindede tilføjelser spredes, er gennem promovering af websteder med et professionelt udseende (som på billedet nedenfor) og placering i Chrome Webshop, hvorved man omgår verifikationsmekanismer til efterfølgende download af kode fra eksterne websteder. For at omgå begrænsningerne for kun at installere tilføjelser fra Chrome Webshop, distribuerede angriberne separate samlinger af Chromium med forudinstallerede tilføjelser og installerede dem også gennem reklameapplikationer (adware), der allerede var til stede i systemet. Forskere analyserede 100 netværk af finansielle, medie-, medicinske, farmaceutiske, olie- og gas- og handelsvirksomheder samt uddannelses- og statsinstitutioner og fandt spor af tilstedeværelsen af de ondsindede tilføjelser i næsten alle af dem.
Under kampagnen for at distribuere ondsindede tilføjelser, mere end
Forskere havde mistanke om en sammensværgelse med Galcomm-domæneregistratoren, hvor 15 tusinde domæner for ondsindede aktiviteter blev registreret (60 % af alle domæner udstedt af denne registrator), men Galcomm-repræsentanter
Forskerne, der identificerede problemet, sammenligner de ondsindede tilføjelser med et nyt rootkit - hovedaktiviteten for mange brugere udføres gennem en browser, hvorigennem de får adgang til delt dokumentlagring, virksomhedsinformationssystemer og finansielle tjenester. Under sådanne forhold giver det ingen mening for angribere at lede efter måder at kompromittere operativsystemet fuldstændigt for at installere et fuldgyldigt rootkit - det er meget nemmere at installere en ondsindet browsertilføjelse og kontrollere strømmen af fortrolige data gennem det. Ud over at overvåge transitdata kan tilføjelsen anmode om tilladelser til at få adgang til lokale data, et webkamera eller placering. Som praksis viser, er de fleste brugere ikke opmærksomme på de ønskede tilladelser, og 80 % af de 1000 populære tilføjelser anmoder om adgang til dataene på alle behandlede sider.
Kilde: opennet.ru