شرکت امنیتی بیدار
فرض بر این است که تمام اضافات در نظر گرفته شده توسط یک تیم از مهاجمان تهیه شده است، زیرا در کل
توسعه دهندگان افزونه ابتدا یک نسخه تمیز و بدون کد مخرب را در فروشگاه کروم پست کردند، تحت بررسی همتایان قرار گرفتند و سپس تغییراتی را در یکی از بهروزرسانیهایی که کدهای مخرب را پس از نصب بارگیری میکرد، اضافه کردند. برای پنهان کردن آثار فعالیت مخرب، از یک تکنیک پاسخ انتخابی نیز استفاده شد - اولین درخواست بارگیری مخرب را برگرداند و درخواستهای بعدی دادههای غیر مشکوک را برگرداند.
راههای اصلی انتشار افزونههای مخرب از طریق تبلیغ سایتهایی با ظاهر حرفهای (مانند تصویر زیر) و قرار دادن در فروشگاه وب Chrome، دور زدن مکانیسمهای تأیید برای دانلود بعدی کد از سایتهای خارجی است. برای دور زدن محدودیتهای نصب افزونهها فقط از فروشگاه وب Chrome، مهاجمان مجموعههای جداگانه Chromium را با افزونههای از پیش نصبشده توزیع کردند و همچنین آنها را از طریق برنامههای تبلیغاتی (Adware) که قبلاً در سیستم وجود دارد نصب کردند. محققان 100 شبکه شرکت های مالی، رسانه ای، پزشکی، دارویی، نفت و گاز و بازرگانی و همچنین مؤسسات آموزشی و دولتی را تجزیه و تحلیل کردند و تقریباً در همه آنها ردپایی از وجود افزونه های مخرب را یافتند.
در طول کمپین توزیع افزونه های مخرب، بیش از
محققان مشکوک به توطئه ای با ثبت کننده دامنه Galcomm بودند که در آن 15 هزار دامنه برای فعالیت های مخرب ثبت شده بود (60٪ از کل دامنه های صادر شده توسط این ثبت کننده) اما نمایندگان Galcomm
محققانی که مشکل را شناسایی کردند افزونه های مخرب را با یک روت کیت جدید مقایسه کردند - فعالیت اصلی بسیاری از کاربران از طریق یک مرورگر انجام می شود که از طریق آن به ذخیره سازی اسناد مشترک، سیستم های اطلاعات شرکت و خدمات مالی دسترسی دارند. در چنین شرایطی، برای مهاجمان منطقی نیست که به دنبال راه هایی برای به خطر انداختن کامل سیستم عامل برای نصب یک روت کیت کامل باشند - نصب یک افزونه مرورگر مخرب و کنترل جریان داده های محرمانه از طریق آن بسیار ساده تر است. آی تی. علاوه بر نظارت بر دادههای حملونقل، این افزونه میتواند برای دسترسی به دادههای محلی، دوربین وب یا مکان درخواست مجوز کند. همانطور که تمرین نشان می دهد، اکثر کاربران به مجوزهای درخواستی توجه نمی کنند و 80٪ از 1000 افزونه محبوب درخواست دسترسی به داده های تمام صفحات پردازش شده را دارند.
منبع: opennet.ru