Awake Security Company
Υποτίθεται ότι όλες οι εξεταζόμενες προσθήκες προετοιμάστηκαν από μία ομάδα επιθετικών, αφού σε όλες
Οι προγραμματιστές πρόσθετων δημοσίευσαν πρώτα μια καθαρή έκδοση χωρίς κακόβουλο κώδικα στο Chrome Store, υποβλήθηκαν σε αξιολόγηση από ομοτίμους και στη συνέχεια πρόσθεσαν αλλαγές σε μία από τις ενημερώσεις που φόρτωσαν κακόβουλο κώδικα μετά την εγκατάσταση. Για την απόκρυψη ιχνών κακόβουλης δραστηριότητας, χρησιμοποιήθηκε επίσης μια τεχνική επιλεκτικής απόκρισης - το πρώτο αίτημα επέστρεψε μια κακόβουλη λήψη και τα επόμενα αιτήματα επέστρεψαν ανύποπτα δεδομένα.
Οι κύριοι τρόποι με τους οποίους διαδίδονται κακόβουλα πρόσθετα είναι μέσω της προώθησης ιστοτόπων με επαγγελματική εμφάνιση (όπως στην παρακάτω εικόνα) και της τοποθέτησης στο Chrome Web Store, παρακάμπτοντας τους μηχανισμούς επαλήθευσης για τη μετέπειτα λήψη κώδικα από εξωτερικούς ιστότοπους. Για να παρακάμψουν τους περιορισμούς στην εγκατάσταση πρόσθετων μόνο από το Chrome Web Store, οι εισβολείς διένειμαν ξεχωριστές συναρμολογήσεις του Chromium με προεγκατεστημένα πρόσθετα και τις εγκατέστησαν επίσης μέσω διαφημιστικών εφαρμογών (Adware) που υπήρχαν ήδη στο σύστημα. Οι ερευνητές ανέλυσαν 100 δίκτυα χρηματοοικονομικών, μέσων ενημέρωσης, ιατρικών, φαρμακευτικών, πετρελαϊκών και φυσικών εταιρειών και εμπορικών εταιρειών, καθώς και εκπαιδευτικά και κυβερνητικά ιδρύματα, και βρήκαν ίχνη της παρουσίας των κακόβουλων πρόσθετων σχεδόν σε όλα.
Κατά τη διάρκεια της καμπάνιας για τη διανομή κακόβουλων πρόσθετων, περισσότερα από
Οι ερευνητές υποψιάστηκαν μια συνωμοσία με τον καταχωρητή τομέα Galcomm, στον οποίο είχαν καταχωρηθεί 15 χιλιάδες τομείς για κακόβουλες δραστηριότητες (60% όλων των τομέων που εκδόθηκαν από αυτόν τον καταχωρητή), αλλά εκπρόσωποι της Galcomm
Οι ερευνητές που εντόπισαν το πρόβλημα συγκρίνουν τα κακόβουλα πρόσθετα με ένα νέο rootkit - η κύρια δραστηριότητα πολλών χρηστών πραγματοποιείται μέσω ενός προγράμματος περιήγησης, μέσω του οποίου έχουν πρόσβαση σε κοινόχρηστο χώρο αποθήκευσης εγγράφων, εταιρικά συστήματα πληροφοριών και χρηματοοικονομικές υπηρεσίες. Σε τέτοιες συνθήκες, δεν έχει νόημα για τους εισβολείς να αναζητούν τρόπους για να υπονομεύσουν πλήρως το λειτουργικό σύστημα για να εγκαταστήσουν ένα πλήρες rootkit - είναι πολύ πιο εύκολο να εγκαταστήσετε ένα κακόβουλο πρόσθετο προγράμματος περιήγησης και να ελέγξετε τη ροή των εμπιστευτικών δεδομένων μέσω το. Εκτός από την παρακολούθηση δεδομένων συγκοινωνίας, το πρόσθετο μπορεί να ζητήσει άδειες πρόσβασης σε τοπικά δεδομένα, μια κάμερα web ή τοποθεσία. Όπως δείχνει η πρακτική, οι περισσότεροι χρήστες δεν δίνουν προσοχή στα ζητούμενα δικαιώματα και το 80% από τα 1000 δημοφιλή πρόσθετα ζητούν πρόσβαση στα δεδομένα όλων των επεξεργασμένων σελίδων.
Πηγή: opennet.ru