Awake Security Company
Oletetaan, että kaikki harkitut lisäykset ovat yhden hyökkääjäryhmän valmistelemia, koska kaikki
Lisäosien kehittäjät julkaisivat ensin puhtaan version ilman haitallista koodia Chrome Storeen, kävivät läpi vertaisarvioinnin ja lisäsivät sitten muutoksia yhteen päivitykseen, joka latasi haitallista koodia asennuksen jälkeen. Haitallisen toiminnan jälkien piilottamiseen käytettiin myös valikoivaa vastaustekniikkaa - ensimmäinen pyyntö palautti haitallisen latauksen ja myöhemmissä pyynnöissä epäilyttäviä tietoja.
Tärkeimmät tavat, joilla haitalliset lisäosat leviävät, ovat ammattimaisen näköisten sivustojen mainostaminen (kuten alla olevassa kuvassa) ja sijoittaminen Chrome Web Storeen ohittaen vahvistusmekanismit koodin myöhempää lataamista varten ulkoisista sivustoista. Ohittaakseen lisäosien asentamista koskevat rajoitukset vain Chrome Web Storesta hyökkääjät jakoivat erillisiä Chromiumin kokoonpanoja esiasennettujen lisäosien kanssa ja asensivat ne myös järjestelmässä jo olevien mainossovellusten (Adware) kautta. Tutkijat analysoivat 100 rahoitus-, media-, lääke-, lääke-, öljy- ja kaasu- ja kauppayhtiöiden verkostoa sekä koulutus- ja valtion laitoksia ja löysivät jälkiä haitallisista lisäosista lähes kaikista.
Haitallisten lisäosien jakelukampanjan aikana yli
Tutkijat epäilivät salaliittoa Galcommin verkkotunnusten rekisteröijän kanssa, jossa rekisteröitiin 15 tuhatta verkkotunnusta haitallisille toimille (60 % kaikista tämän rekisteröijän myöntämistä verkkotunnuksista), mutta Galcommin edustajat
Ongelman tunnistaneet tutkijat vertaavat haitallisia lisäosia uuteen rootkittiin - useiden käyttäjien pääasiallinen toiminta tapahtuu selaimen kautta, jonka kautta he pääsevät jaettuun dokumenttivarastointiin, yritysten tietojärjestelmiin ja talouspalveluihin. Tällaisissa olosuhteissa hyökkääjien ei ole järkevää etsiä tapoja vaarantaa käyttöjärjestelmä täydellisen rootkitin asentamiseksi - on paljon helpompaa asentaa haitallinen selaimen lisäosa ja hallita luottamuksellisten tietojen virtaa. se. Liikennetietojen valvonnan lisäksi lisäosa voi pyytää lupia käyttää paikallisia tietoja, verkkokameraa tai sijaintia. Kuten käytäntö osoittaa, useimmat käyttäjät eivät kiinnitä huomiota pyydettyihin käyttöoikeuksiin, ja 80% 1000 suositusta lisäosasta pyytää pääsyä kaikkien käsiteltyjen sivujen tietoihin.
Lähde: opennet.ru