Awake Security Company pri identigo al Google Chrome, sendante konfidencajn uzantdatenojn al eksteraj serviloj. La aldonaĵoj ankaŭ havis aliron preni ekrankopiojn, legi la enhavon de la tondujo, analizi la ĉeeston de alirĵetonoj en Kuketoj, kaj kapti enigaĵon en retformularoj. Entute, la identigitaj malicaj aldonaĵoj nombris 32.9 milionojn da elŝutoj en la Chrome Web Store, kaj la plej populara (Search Manager) estis elŝutita 10 milionojn da fojoj kaj inkluzivas 22 mil recenzojn.
Oni supozas, ke ĉiuj pripensitaj aldonoj estis preparitaj de unu teamo de atakantoj, ĉar entute tipa skemo por distribui kaj organizi la kapton de konfidencaj datumoj, same kiel komunaj dezajnelementoj kaj ripeta kodo. kun malica kodo estis metitaj en la katalogo de Chrome Store kaj jam estis forigitaj post sendo de sciigo pri malica agado. Multaj malicaj aldonaĵoj kopiis la funkciecon de diversaj popularaj aldonaĵoj, inkluzive de tiuj celitaj provizi plian retumilon sekurecon, pliigante serĉan privatecon, PDF-konverton kaj formatkonverton.
Aldonaj programistoj unue afiŝis puran version sen malica kodo en la Chrome Store, spertis kolegan revizion, kaj poste aldonis ŝanĝojn en unu el la ĝisdatigoj kiuj ŝarĝis malican kodon post instalado. Por kaŝi spurojn de malica agado, oni uzis ankaŭ selekteman respondteknikon - la unua peto resendis malican elŝuton, kaj postaj petoj resendis nesuspektindajn datumojn.
La ĉefaj manieroj per kiuj malicaj aldonaĵoj disvastiĝas estas per promocio de profesiaj aspektantaj retejoj (kiel en la bildo sube) kaj lokigo en la Chrome Web Store, preterirante kontrolajn mekanismojn por posta elŝuto de kodo de eksteraj retejoj. Por preteriri la limigojn pri instalo de aldonaĵoj nur de la Chrome Web Store, la atakantoj distribuis apartajn arojn de Chromium kun antaŭinstalitaj aldonaĵoj, kaj ankaŭ instalis ilin per reklamaj aplikaĵoj (Adware) jam ĉeestantaj en la sistemo. Esploristoj analizis 100 retojn de financaj, amaskomunikiloj, medicinaj, farmaciaj, naftogasaj kaj komercaj kompanioj, same kiel edukaj kaj registaraj institucioj, kaj trovis spurojn de la ĉeesto de la malicaj aldonaĵoj en preskaŭ ĉiuj ili.
Dum la kampanjo por distribui malicajn aldonaĵojn, pli ol , intersekciĝantaj kun popularaj retejoj (ekzemple, gmaille.com, youtubeunblocked.net, ktp.) aŭ registritaj post la eksvalidiĝo de la renovigperiodo por antaŭe ekzistantaj domajnoj. Ĉi tiuj domajnoj ankaŭ estis uzitaj en la malica agadadministra infrastrukturo kaj por elŝuti malicajn JavaScript-enmetojn kiuj estis efektivigitaj en la kunteksto de la paĝoj kiujn la uzanto malfermis.
Esploristoj suspektis komploton kun la registranto de la domajno de Galcomm, en kiu estis registritaj 15 mil domajnoj por malicaj agadoj (60% de ĉiuj domajnoj eldonitaj de ĉi tiu registristo), sed reprezentantoj de Galcomm. Ĉi tiuj supozoj indikis, ke 25% de la listigitaj domajnoj jam estis forigitaj aŭ ne estis eldonitaj de Galcomm, kaj la resto, preskaŭ ĉiuj estas neaktivaj parkumitaj domajnoj. Reprezentantoj de Galcomm ankaŭ raportis, ke neniu kontaktis ilin antaŭ la publika malkaŝo de la raporto, kaj ili ricevis liston de domajnoj uzataj por malicaj celoj de tria partio kaj nun faras sian analizon pri ili.
La esploristoj, kiuj identigis la problemon, komparas la malicajn aldonaĵojn kun nova rootkit - la ĉefa agado de multaj uzantoj estas efektivigita per retumilo, per kiu ili aliras komunan dokumentan stokadon, kompaniajn informsistemojn kaj financajn servojn. En tiaj kondiĉoj, ne havas sencon por atakantoj serĉi manierojn tute kompromiti la operaciumon por instali plenrajtan radikilon - estas multe pli facile instali malican retumilon aldonaĵon kaj kontroli la fluon de konfidencaj datumoj trae. ĝi. Krom kontrolado de trafikaj datumoj, la aldonaĵo povas peti permesojn por aliri lokajn datumojn, retan fotilon aŭ lokon. Kiel praktiko montras, plej multaj uzantoj ne atentas la petitajn permesojn, kaj 80% el la 1000 popularaj aldonaĵoj petas aliron al la datumoj de ĉiuj prilaboritaj paĝoj.
fonto: opennet.ru