Empresa de seguridad despierta sobre identificar a Google Chrome, enviando datos confidenciales del usuario a servidores externos. Los complementos también tenían acceso para tomar capturas de pantalla, leer el contenido del portapapeles, analizar la presencia de tokens de acceso en las cookies e interceptar entradas en formularios web. En total, los complementos maliciosos identificados sumaron 32.9 millones de descargas en Chrome Web Store, y el más popular (Search Manager) se descargó 10 millones de veces e incluye 22 mil reseñas.
Se supone que todas las adiciones consideradas fueron preparadas por un solo equipo de atacantes, ya que en todos un esquema típico para distribuir y organizar la captura de datos confidenciales, así como elementos de diseño comunes y código repetido. con código malicioso se colocaron en el catálogo de Chrome Store y ya se eliminaron después de enviar una notificación sobre actividad maliciosa. Muchos complementos maliciosos copiaron la funcionalidad de varios complementos populares, incluidos aquellos destinados a brindar seguridad adicional al navegador, aumentar la privacidad de la búsqueda, conversión de PDF y conversión de formatos.
Los desarrolladores de complementos primero publicaron una versión limpia sin código malicioso en Chrome Store, se sometieron a una revisión por pares y luego agregaron cambios en una de las actualizaciones que cargaba código malicioso después de la instalación. Para ocultar rastros de actividad maliciosa, también se utilizó una técnica de respuesta selectiva: la primera solicitud devolvió una descarga maliciosa y las solicitudes posteriores arrojaron datos no sospechosos.
Las principales formas en que se propagan los complementos maliciosos son mediante la promoción de sitios de apariencia profesional (como en la imagen siguiente) y su colocación en Chrome Web Store, evitando los mecanismos de verificación para la descarga posterior de código de sitios externos. Para evitar las restricciones a la instalación de complementos solo desde Chrome Web Store, los atacantes distribuyeron ensamblajes separados de Chromium con complementos preinstalados y también los instalaron a través de aplicaciones publicitarias (Adware) ya presentes en el sistema. Los investigadores analizaron 100 redes de empresas financieras, de medios, médicas, farmacéuticas, de petróleo y gas y comerciales, así como de instituciones educativas y gubernamentales, y encontraron rastros de la presencia de complementos maliciosos en casi todas ellas.
Durante la campaña de distribución de complementos maliciosos, más de , que se cruzan con sitios populares (por ejemplo, gmaille.com, youtubeunblocked.net, etc.) o se registran después de la expiración del período de renovación para dominios previamente existentes. Estos dominios también se utilizaron en la infraestructura de gestión de actividades maliciosas y para descargar inserciones de JavaScript maliciosas que se ejecutaban en el contexto de las páginas que abría el usuario.
Los investigadores sospecharon una conspiración con el registrador de dominios Galcomm, en el que se registraron 15 mil dominios para actividades maliciosas (60% de todos los dominios emitidos por este registrador), pero los representantes de Galcomm Estas suposiciones indicaron que el 25% de los dominios listados ya han sido eliminados o no fueron emitidos por Galcomm, y el resto, casi todos, son dominios estacionados inactivos. Los representantes de Galcomm también informaron que nadie los contactó antes de la divulgación pública del informe, y recibieron una lista de dominios utilizados con fines maliciosos de un tercero y ahora están realizando su análisis sobre ellos.
Los investigadores que identificaron el problema compararon los complementos maliciosos con un nuevo rootkit: la actividad principal de muchos usuarios se realiza a través de un navegador, a través del cual acceden al almacenamiento compartido de documentos, a los sistemas de información corporativa y a los servicios financieros. En tales condiciones, no tiene sentido que los atacantes busquen formas de comprometer completamente el sistema operativo para instalar un rootkit completo; es mucho más fácil instalar un complemento de navegador malicioso y controlar el flujo de datos confidenciales a través de él. Además de monitorear los datos de tránsito, el complemento puede solicitar permisos para acceder a datos locales, una cámara web o una ubicación. Como muestra la práctica, la mayoría de los usuarios no prestan atención a los permisos solicitados y el 80% de los 1000 complementos populares solicitan acceso a los datos de todas las páginas procesadas.
Fuente: opennet.ru