Awake Security Company über das Identifizieren an Google Chrome und sendet vertrauliche Benutzerdaten an externe Server. Die Add-ons hatten außerdem Zugriff auf das Erstellen von Screenshots, das Lesen des Inhalts der Zwischenablage, das Analysieren des Vorhandenseins von Zugriffstokens in Cookies und das Abfangen von Eingaben in Webformularen. Insgesamt wurden die identifizierten bösartigen Add-ons im Chrome Web Store insgesamt 32.9 Millionen Mal heruntergeladen, wobei das beliebteste (Search Manager) 10 Millionen Mal heruntergeladen wurde und 22 Bewertungen enthält.
Es wird davon ausgegangen, dass alle betrachteten Ergänzungen von einem Angreiferteam vorbereitet wurden, da insgesamt ein typisches Schema für die Verteilung und Organisation der Erfassung vertraulicher Daten sowie gemeinsamer Designelemente und wiederholten Codes. mit bösartigem Code wurden im Chrome Store-Katalog platziert und nach dem Versenden einer Benachrichtigung über bösartige Aktivitäten bereits gelöscht. Viele bösartige Add-Ons kopierten die Funktionalität verschiedener beliebter Add-Ons, darunter solche, die darauf abzielten, zusätzliche Browsersicherheit zu bieten, den Suchschutz zu erhöhen, PDF-Konvertierung und Formatkonvertierung durchzuführen.
Add-on-Entwickler haben zunächst eine saubere Version ohne Schadcode im Chrome Store veröffentlicht, sich einer Peer-Review unterzogen und dann Änderungen in einem der Updates hinzugefügt, die nach der Installation Schadcode geladen haben. Um Spuren bösartiger Aktivitäten zu verbergen, wurde auch eine selektive Antworttechnik verwendet – die erste Anfrage lieferte einen böswilligen Download und nachfolgende Anfragen lieferten unverdächtige Daten.
Die Hauptwege zur Verbreitung bösartiger Add-ons sind die Werbung für professionell aussehende Websites (wie im Bild unten) und die Platzierung im Chrome Web Store, wobei Überprüfungsmechanismen für das anschließende Herunterladen von Code von externen Websites umgangen werden. Um die Beschränkungen für die Installation von Add-ons nur aus dem Chrome Web Store zu umgehen, verteilten die Angreifer separate Chromium-Assemblys mit vorinstallierten Add-ons und installierten diese auch über bereits im System vorhandene Werbeanwendungen (Adware). Die Forscher analysierten 100 Netzwerke von Finanz-, Medien-, Medizin-, Pharma-, Öl- und Gas- und Handelsunternehmen sowie Bildungs- und Regierungseinrichtungen und fanden in fast allen von ihnen Spuren der Präsenz der bösartigen Add-ons.
Während der Kampagne zur Verbreitung bösartiger Add-ons mehr als , Kreuzungen mit beliebten Websites (z. B. gmaille.com, youtubeunblocked.net usw.) oder nach Ablauf des Verlängerungszeitraums für bereits bestehende Domains registriert werden. Diese Domänen wurden auch in der Infrastruktur zur Verwaltung schädlicher Aktivitäten und zum Herunterladen schädlicher JavaScript-Einfügungen verwendet, die im Kontext der vom Benutzer geöffneten Seiten ausgeführt wurden.
Die Forscher vermuteten eine Verschwörung mit dem Galcomm-Domain-Registrar, bei dem 15 Domains für böswillige Aktivitäten registriert wurden (60 % aller von diesem Registrar ausgegebenen Domains), aber Vertreter von Galcomm Diese Annahmen deuten darauf hin, dass 25 % der aufgelisteten Domains bereits gelöscht wurden oder nicht von Galcomm vergeben wurden und der Rest, fast alle, inaktive geparkte Domains sind. Vertreter von Galcomm berichteten außerdem, dass vor der Veröffentlichung des Berichts niemand Kontakt zu ihnen aufgenommen habe und dass sie von einem Dritten eine Liste mit Domains erhalten hätten, die für böswillige Zwecke genutzt würden, und dass sie nun eine Analyse dieser Domains durchführen.
Die Forscher, die das Problem identifiziert haben, vergleichen die bösartigen Add-ons mit einem neuen Rootkit – die Hauptaktivität vieler Benutzer wird über einen Browser ausgeführt, über den sie auf gemeinsame Dokumentenspeicher, Unternehmensinformationssysteme und Finanzdienstleistungen zugreifen. Unter solchen Bedingungen macht es für Angreifer keinen Sinn, nach Möglichkeiten zu suchen, das Betriebssystem vollständig zu kompromittieren, um ein vollwertiges Rootkit zu installieren – es ist viel einfacher, ein bösartiges Browser-Add-on zu installieren und den Fluss vertraulicher Daten zu kontrollieren Es. Zusätzlich zur Überwachung von Transitdaten kann das Add-on Berechtigungen für den Zugriff auf lokale Daten, eine Webcam oder den Standort anfordern. Wie die Praxis zeigt, achten die meisten Benutzer nicht auf die angeforderten Berechtigungen und 80 % der 1000 beliebten Add-Ons fordern Zugriff auf die Daten aller verarbeiteten Seiten.
Source: opennet.ru