Awake Security Company
Oni supozas, ke ĉiuj pripensitaj aldonoj estis preparitaj de unu teamo de atakantoj, ĉar entute
Aldonaj programistoj unue afiŝis puran version sen malica kodo en la Chrome Store, spertis kolegan revizion, kaj poste aldonis ŝanĝojn en unu el la ĝisdatigoj kiuj ŝarĝis malican kodon post instalado. Por kaŝi spurojn de malica agado, oni uzis ankaŭ selekteman respondteknikon - la unua peto resendis malican elŝuton, kaj postaj petoj resendis nesuspektindajn datumojn.
La ĉefaj manieroj per kiuj malicaj aldonaĵoj disvastiĝas estas per promocio de profesiaj aspektantaj retejoj (kiel en la bildo sube) kaj lokigo en la Chrome Web Store, preterirante kontrolajn mekanismojn por posta elŝuto de kodo de eksteraj retejoj. Por preteriri la limigojn pri instalo de aldonaĵoj nur de la Chrome Web Store, la atakantoj distribuis apartajn arojn de Chromium kun antaŭinstalitaj aldonaĵoj, kaj ankaŭ instalis ilin per reklamaj aplikaĵoj (Adware) jam ĉeestantaj en la sistemo. Esploristoj analizis 100 retojn de financaj, amaskomunikiloj, medicinaj, farmaciaj, naftogasaj kaj komercaj kompanioj, same kiel edukaj kaj registaraj institucioj, kaj trovis spurojn de la ĉeesto de la malicaj aldonaĵoj en preskaŭ ĉiuj ili.
Dum la kampanjo por distribui malicajn aldonaĵojn, pli ol
Esploristoj suspektis komploton kun la registranto de la domajno de Galcomm, en kiu estis registritaj 15 mil domajnoj por malicaj agadoj (60% de ĉiuj domajnoj eldonitaj de ĉi tiu registristo), sed reprezentantoj de Galcomm.
La esploristoj, kiuj identigis la problemon, komparas la malicajn aldonaĵojn kun nova rootkit - la ĉefa agado de multaj uzantoj estas efektivigita per retumilo, per kiu ili aliras komunan dokumentan stokadon, kompaniajn informsistemojn kaj financajn servojn. En tiaj kondiĉoj, ne havas sencon por atakantoj serĉi manierojn tute kompromiti la operaciumon por instali plenrajtan radikilon - estas multe pli facile instali malican retumilon aldonaĵon kaj kontroli la fluon de konfidencaj datumoj trae. ĝi. Krom kontrolado de trafikaj datumoj, la aldonaĵo povas peti permesojn por aliri lokajn datumojn, retan fotilon aŭ lokon. Kiel praktiko montras, plej multaj uzantoj ne atentas la petitajn permesojn, kaj 80% el la 1000 popularaj aldonaĵoj petas aliron al la datumoj de ĉiuj prilaboritaj paĝoj.
fonto: opennet.ru