Awake Security Company
Es wird davon ausgegangen, dass alle betrachteten Ergänzungen von einem Angreiferteam vorbereitet wurden, da insgesamt
Add-on-Entwickler haben zunächst eine saubere Version ohne Schadcode im Chrome Store veröffentlicht, sich einer Peer-Review unterzogen und dann Änderungen in einem der Updates hinzugefügt, die nach der Installation Schadcode geladen haben. Um Spuren bösartiger Aktivitäten zu verbergen, wurde auch eine selektive Antworttechnik verwendet – die erste Anfrage lieferte einen böswilligen Download und nachfolgende Anfragen lieferten unverdächtige Daten.
Die Hauptwege zur Verbreitung bösartiger Add-ons sind die Werbung für professionell aussehende Websites (wie im Bild unten) und die Platzierung im Chrome Web Store, wobei Überprüfungsmechanismen für das anschließende Herunterladen von Code von externen Websites umgangen werden. Um die Beschränkungen für die Installation von Add-ons nur aus dem Chrome Web Store zu umgehen, verteilten die Angreifer separate Chromium-Assemblys mit vorinstallierten Add-ons und installierten diese auch über bereits im System vorhandene Werbeanwendungen (Adware). Die Forscher analysierten 100 Netzwerke von Finanz-, Medien-, Medizin-, Pharma-, Öl- und Gas- und Handelsunternehmen sowie Bildungs- und Regierungseinrichtungen und fanden in fast allen von ihnen Spuren der Präsenz der bösartigen Add-ons.
Während der Kampagne zur Verbreitung bösartiger Add-ons mehr als
Die Forscher vermuteten eine Verschwörung mit dem Galcomm-Domain-Registrar, bei dem 15 Domains für böswillige Aktivitäten registriert wurden (60 % aller von diesem Registrar ausgegebenen Domains), aber Vertreter von Galcomm
Die Forscher, die das Problem identifiziert haben, vergleichen die bösartigen Add-ons mit einem neuen Rootkit – die Hauptaktivität vieler Benutzer wird über einen Browser ausgeführt, über den sie auf gemeinsame Dokumentenspeicher, Unternehmensinformationssysteme und Finanzdienstleistungen zugreifen. Unter solchen Bedingungen macht es für Angreifer keinen Sinn, nach Möglichkeiten zu suchen, das Betriebssystem vollständig zu kompromittieren, um ein vollwertiges Rootkit zu installieren – es ist viel einfacher, ein bösartiges Browser-Add-on zu installieren und den Fluss vertraulicher Daten zu kontrollieren Es. Zusätzlich zur Überwachung von Transitdaten kann das Add-on Berechtigungen für den Zugriff auf lokale Daten, eine Webcam oder den Standort anfordern. Wie die Praxis zeigt, achten die meisten Benutzer nicht auf die angeforderten Berechtigungen und 80 % der 1000 beliebten Add-Ons fordern Zugriff auf die Daten aller verarbeiteten Seiten.
Source: opennet.ru