Empresa de seguridad despierta
Se supone que todas las adiciones consideradas fueron preparadas por un solo equipo de atacantes, ya que en todos
Los desarrolladores de complementos primero publicaron una versión limpia sin código malicioso en Chrome Store, se sometieron a una revisión por pares y luego agregaron cambios en una de las actualizaciones que cargaba código malicioso después de la instalación. Para ocultar rastros de actividad maliciosa, también se utilizó una técnica de respuesta selectiva: la primera solicitud devolvió una descarga maliciosa y las solicitudes posteriores arrojaron datos no sospechosos.
Las principales formas en que se propagan los complementos maliciosos son mediante la promoción de sitios de apariencia profesional (como en la imagen siguiente) y su colocación en Chrome Web Store, evitando los mecanismos de verificación para la descarga posterior de código de sitios externos. Para evitar las restricciones a la instalación de complementos solo desde Chrome Web Store, los atacantes distribuyeron ensamblajes separados de Chromium con complementos preinstalados y también los instalaron a través de aplicaciones publicitarias (Adware) ya presentes en el sistema. Los investigadores analizaron 100 redes de empresas financieras, de medios, médicas, farmacéuticas, de petróleo y gas y comerciales, así como de instituciones educativas y gubernamentales, y encontraron rastros de la presencia de complementos maliciosos en casi todas ellas.
Durante la campaña de distribución de complementos maliciosos, más de
Los investigadores sospecharon una conspiración con el registrador de dominios Galcomm, en el que se registraron 15 mil dominios para actividades maliciosas (60% de todos los dominios emitidos por este registrador), pero los representantes de Galcomm
Los investigadores que identificaron el problema compararon los complementos maliciosos con un nuevo rootkit: la actividad principal de muchos usuarios se realiza a través de un navegador, a través del cual acceden al almacenamiento compartido de documentos, a los sistemas de información corporativa y a los servicios financieros. En tales condiciones, no tiene sentido que los atacantes busquen formas de comprometer completamente el sistema operativo para instalar un rootkit completo; es mucho más fácil instalar un complemento de navegador malicioso y controlar el flujo de datos confidenciales a través de él. Además de monitorear los datos de tránsito, el complemento puede solicitar permisos para acceder a datos locales, una cámara web o una ubicación. Como muestra la práctica, la mayoría de los usuarios no prestan atención a los permisos solicitados y el 80% de los 1000 complementos populares solicitan acceso a los datos de todas las páginas procesadas.
Fuente: opennet.ru