111 افزونه کروم که 32 میلیون بار دانلود شده اند، داده های حساس را دانلود می کنند

شرکت امنیتی بیدار گزارش شده در مورد شناسایی 111 اضافه شده به Google Chrome، ارسال اطلاعات محرمانه کاربر به سرورهای خارجی. افزونه ها همچنین به گرفتن اسکرین شات، خواندن محتویات کلیپ بورد، تجزیه و تحلیل وجود نشانه های دسترسی در کوکی ها و رهگیری ورودی در فرم های وب دسترسی داشتند. در مجموع، افزونه های مخرب شناسایی شده در مجموع 32.9 میلیون بار در فروشگاه وب کروم دانلود شده و محبوب ترین (مدیر جستجو) 10 میلیون بار دانلود شده و شامل 22 هزار بررسی است.

فرض بر این است که تمام اضافات در نظر گرفته شده توسط یک تیم از مهاجمان تهیه شده است، زیرا در کل استفاده شده یک طرح معمولی برای توزیع و سازماندهی ضبط داده های محرمانه، و همچنین عناصر طراحی رایج و کدهای مکرر. 79 اضافه شده با کد مخرب در کاتالوگ فروشگاه کروم قرار داده شدند و پس از ارسال یک اعلان در مورد فعالیت مخرب حذف شدند. بسیاری از افزونه‌های مخرب عملکرد افزونه‌های محبوب مختلف را کپی کردند، از جمله آنهایی که با هدف ایجاد امنیت بیشتر مرورگر، افزایش حریم خصوصی جستجو، تبدیل PDF و تبدیل فرمت انجام می‌شوند.

توسعه دهندگان افزونه ابتدا یک نسخه تمیز و بدون کد مخرب را در فروشگاه کروم پست کردند، تحت بررسی همتایان قرار گرفتند و سپس تغییراتی را در یکی از به‌روزرسانی‌هایی که کدهای مخرب را پس از نصب بارگیری می‌کرد، اضافه کردند. برای پنهان کردن آثار فعالیت مخرب، از یک تکنیک پاسخ انتخابی نیز استفاده شد - اولین درخواست بارگیری مخرب را برگرداند و درخواست‌های بعدی داده‌های غیر مشکوک را برگرداند.

راه‌های اصلی انتشار افزونه‌های مخرب از طریق تبلیغ سایت‌هایی با ظاهر حرفه‌ای (مانند تصویر زیر) و قرار دادن در فروشگاه وب Chrome، دور زدن مکانیسم‌های تأیید برای دانلود بعدی کد از سایت‌های خارجی است. برای دور زدن محدودیت‌های نصب افزونه‌ها فقط از فروشگاه وب Chrome، مهاجمان مجموعه‌های جداگانه Chromium را با افزونه‌های از پیش نصب‌شده توزیع کردند و همچنین آنها را از طریق برنامه‌های تبلیغاتی (Adware) که قبلاً در سیستم وجود دارد نصب کردند. محققان 100 شبکه شرکت های مالی، رسانه ای، پزشکی، دارویی، نفت و گاز و بازرگانی و همچنین مؤسسات آموزشی و دولتی را تجزیه و تحلیل کردند و تقریباً در همه آنها ردپایی از وجود افزونه های مخرب را یافتند.

در طول کمپین توزیع افزونه های مخرب، بیش از 15 هزار دامنه، با سایت های محبوب (به عنوان مثال، gmaille.com، youtubeunblocked.net و غیره) تلاقی می کند یا پس از انقضای دوره تمدید دامنه های قبلی ثبت شده است. این دامنه ها همچنین در زیرساخت مدیریت فعالیت های مخرب و برای دانلود درج های مخرب جاوا اسکریپت که در متن صفحاتی که کاربر باز می کرد اجرا می شد، استفاده می شد.

محققان مشکوک به توطئه ای با ثبت کننده دامنه Galcomm بودند که در آن 15 هزار دامنه برای فعالیت های مخرب ثبت شده بود (60٪ از کل دامنه های صادر شده توسط این ثبت کننده) اما نمایندگان Galcomm رد کرد این مفروضات نشان می دهد که 25٪ از دامنه های لیست شده قبلاً حذف شده یا توسط Galcomm صادر نشده اند و بقیه تقریباً همه دامنه های پارک شده غیرفعال هستند. نمایندگان گالکام همچنین گزارش دادند که قبل از افشای عمومی گزارش، هیچکس با آنها تماس نگرفته است و آنها لیستی از دامنه های مورد استفاده برای اهداف مخرب را از شخص ثالث دریافت کرده اند و اکنون در حال انجام تجزیه و تحلیل خود بر روی آنها هستند.

محققانی که مشکل را شناسایی کردند افزونه های مخرب را با یک روت کیت جدید مقایسه کردند - فعالیت اصلی بسیاری از کاربران از طریق یک مرورگر انجام می شود که از طریق آن به ذخیره سازی اسناد مشترک، سیستم های اطلاعات شرکت و خدمات مالی دسترسی دارند. در چنین شرایطی، برای مهاجمان منطقی نیست که به دنبال راه هایی برای به خطر انداختن کامل سیستم عامل برای نصب یک روت کیت کامل باشند - نصب یک افزونه مرورگر مخرب و کنترل جریان داده های محرمانه از طریق آن بسیار ساده تر است. آی تی. علاوه بر نظارت بر داده‌های حمل‌ونقل، این افزونه می‌تواند برای دسترسی به داده‌های محلی، دوربین وب یا مکان درخواست مجوز کند. همانطور که تمرین نشان می دهد، اکثر کاربران به مجوزهای درخواستی توجه نمی کنند و 80٪ از 1000 افزونه محبوب درخواست دسترسی به داده های تمام صفحات پردازش شده را دارند.

منبع: opennet.ru