Awake Security Company σχετικά με την ταυτοποίηση στο Google Chrome, στέλνοντας εμπιστευτικά δεδομένα χρήστη σε εξωτερικούς διακομιστές. Τα πρόσθετα είχαν επίσης πρόσβαση στη λήψη στιγμιότυπων οθόνης, στην ανάγνωση των περιεχομένων του προχείρου, στην ανάλυση της παρουσίας διακριτικών πρόσβασης στα Cookies και στην υποκλοπή εισόδου σε φόρμες ιστού. Συνολικά, τα εντοπισμένα κακόβουλα πρόσθετα ανήλθαν συνολικά σε 32.9 εκατομμύρια λήψεις στο Chrome Web Store και το πιο δημοφιλές (Search Manager) λήφθηκε 10 εκατομμύρια φορές και περιλαμβάνει 22 χιλιάδες κριτικές.
Υποτίθεται ότι όλες οι εξεταζόμενες προσθήκες προετοιμάστηκαν από μία ομάδα επιθετικών, αφού σε όλες ένα τυπικό σχέδιο για τη διανομή και την οργάνωση της συλλογής εμπιστευτικών δεδομένων, καθώς και κοινών στοιχείων σχεδίασης και επαναλαμβανόμενου κώδικα. με κακόβουλο κώδικα τοποθετήθηκαν στον κατάλογο του Chrome Store και είχαν ήδη διαγραφεί μετά την αποστολή ειδοποίησης για κακόβουλη δραστηριότητα. Πολλά κακόβουλα πρόσθετα αντέγραψαν τη λειτουργικότητα διαφόρων δημοφιλών πρόσθετων, συμπεριλαμβανομένων εκείνων που στοχεύουν στην παροχή πρόσθετης ασφάλειας του προγράμματος περιήγησης, στην αύξηση του απορρήτου αναζήτησης, στη μετατροπή PDF και στη μετατροπή μορφής.
Οι προγραμματιστές πρόσθετων δημοσίευσαν πρώτα μια καθαρή έκδοση χωρίς κακόβουλο κώδικα στο Chrome Store, υποβλήθηκαν σε αξιολόγηση από ομοτίμους και στη συνέχεια πρόσθεσαν αλλαγές σε μία από τις ενημερώσεις που φόρτωσαν κακόβουλο κώδικα μετά την εγκατάσταση. Για την απόκρυψη ιχνών κακόβουλης δραστηριότητας, χρησιμοποιήθηκε επίσης μια τεχνική επιλεκτικής απόκρισης - το πρώτο αίτημα επέστρεψε μια κακόβουλη λήψη και τα επόμενα αιτήματα επέστρεψαν ανύποπτα δεδομένα.
Οι κύριοι τρόποι με τους οποίους διαδίδονται κακόβουλα πρόσθετα είναι μέσω της προώθησης ιστοτόπων με επαγγελματική εμφάνιση (όπως στην παρακάτω εικόνα) και της τοποθέτησης στο Chrome Web Store, παρακάμπτοντας τους μηχανισμούς επαλήθευσης για τη μετέπειτα λήψη κώδικα από εξωτερικούς ιστότοπους. Για να παρακάμψουν τους περιορισμούς στην εγκατάσταση πρόσθετων μόνο από το Chrome Web Store, οι εισβολείς διένειμαν ξεχωριστές συναρμολογήσεις του Chromium με προεγκατεστημένα πρόσθετα και τις εγκατέστησαν επίσης μέσω διαφημιστικών εφαρμογών (Adware) που υπήρχαν ήδη στο σύστημα. Οι ερευνητές ανέλυσαν 100 δίκτυα χρηματοοικονομικών, μέσων ενημέρωσης, ιατρικών, φαρμακευτικών, πετρελαϊκών και φυσικών εταιρειών και εμπορικών εταιρειών, καθώς και εκπαιδευτικά και κυβερνητικά ιδρύματα, και βρήκαν ίχνη της παρουσίας των κακόβουλων πρόσθετων σχεδόν σε όλα.
Κατά τη διάρκεια της καμπάνιας για τη διανομή κακόβουλων πρόσθετων, περισσότερα από , που διασταυρώνονται με δημοφιλείς ιστότοπους (για παράδειγμα, gmaille.com, youtubeunblocked.net, κ.λπ.) ή έχουν εγγραφεί μετά τη λήξη της περιόδου ανανέωσης για προηγουμένως υπάρχοντες τομείς. Αυτοί οι τομείς χρησιμοποιήθηκαν επίσης στην υποδομή διαχείρισης κακόβουλης δραστηριότητας και για τη λήψη κακόβουλων ένθετων JavaScript που εκτελέστηκαν στο πλαίσιο των σελίδων που άνοιξε ο χρήστης.
Οι ερευνητές υποψιάστηκαν μια συνωμοσία με τον καταχωρητή τομέα Galcomm, στον οποίο είχαν καταχωρηθεί 15 χιλιάδες τομείς για κακόβουλες δραστηριότητες (60% όλων των τομέων που εκδόθηκαν από αυτόν τον καταχωρητή), αλλά εκπρόσωποι της Galcomm Αυτές οι παραδοχές έδειξαν ότι το 25% των καταχωρημένων τομέων έχουν ήδη διαγραφεί ή δεν έχουν εκδοθεί από την Galcomm και οι υπόλοιποι, σχεδόν όλοι είναι ανενεργοί δεσμευμένοι τομείς. Εκπρόσωποι της Galcomm ανέφεραν επίσης ότι κανείς δεν επικοινώνησε μαζί τους πριν από τη δημόσια αποκάλυψη της αναφοράς και ότι έλαβαν μια λίστα τομέων που χρησιμοποιούνται για κακόβουλους σκοπούς από τρίτο μέρος και τώρα διεξάγουν την ανάλυσή τους.
Οι ερευνητές που εντόπισαν το πρόβλημα συγκρίνουν τα κακόβουλα πρόσθετα με ένα νέο rootkit - η κύρια δραστηριότητα πολλών χρηστών πραγματοποιείται μέσω ενός προγράμματος περιήγησης, μέσω του οποίου έχουν πρόσβαση σε κοινόχρηστο χώρο αποθήκευσης εγγράφων, εταιρικά συστήματα πληροφοριών και χρηματοοικονομικές υπηρεσίες. Σε τέτοιες συνθήκες, δεν έχει νόημα για τους εισβολείς να αναζητούν τρόπους για να υπονομεύσουν πλήρως το λειτουργικό σύστημα για να εγκαταστήσουν ένα πλήρες rootkit - είναι πολύ πιο εύκολο να εγκαταστήσετε ένα κακόβουλο πρόσθετο προγράμματος περιήγησης και να ελέγξετε τη ροή των εμπιστευτικών δεδομένων μέσω το. Εκτός από την παρακολούθηση δεδομένων συγκοινωνίας, το πρόσθετο μπορεί να ζητήσει άδειες πρόσβασης σε τοπικά δεδομένα, μια κάμερα web ή τοποθεσία. Όπως δείχνει η πρακτική, οι περισσότεροι χρήστες δεν δίνουν προσοχή στα ζητούμενα δικαιώματα και το 80% από τα 1000 δημοφιλή πρόσθετα ζητούν πρόσβαση στα δεδομένα όλων των επεξεργασμένων σελίδων.
Πηγή: opennet.ru