Awake Security Company tunnistamisesta Google Chromeen ja lähettää luottamuksellisia käyttäjätietoja ulkoisille palvelimille. Lisäosilla oli myös mahdollisuus ottaa kuvakaappauksia, lukea leikepöydän sisältöä, analysoida evästeiden käyttötunnisteiden olemassaoloa ja siepata verkkolomakkeiden syötteitä. Kaikkiaan tunnistettuja haitallisia lisäosia ladattiin Chrome Web Storessa 32.9 miljoonaa kertaa, ja suosituin (Search Manager) on ladattu 10 miljoonaa kertaa ja sisältää 22 tuhatta arvostelua.
Oletetaan, että kaikki harkitut lisäykset ovat yhden hyökkääjäryhmän valmistelemia, koska kaikki tyypillinen järjestelmä luottamuksellisten tietojen, samoin kuin yleisten suunnitteluelementtien ja toistuvan koodin levittämiseksi ja keräämiseksi. haitallista koodia sisältävät sijoitettiin Chrome Storen luetteloon ja ne poistettiin jo haitallisesta toiminnasta ilmoituksen lähettämisen jälkeen. Monet haitalliset lisäosat kopioivat useiden suosittujen lisäosien toimintoja, mukaan lukien selainten lisäsuojauksen lisäämiseen, haun yksityisyyden parantamiseen, PDF-muunnosten ja muotojen muuntamiseen tarkoitettujen lisäosien toimintoja.
Lisäosien kehittäjät julkaisivat ensin puhtaan version ilman haitallista koodia Chrome Storeen, kävivät läpi vertaisarvioinnin ja lisäsivät sitten muutoksia yhteen päivitykseen, joka latasi haitallista koodia asennuksen jälkeen. Haitallisen toiminnan jälkien piilottamiseen käytettiin myös valikoivaa vastaustekniikkaa - ensimmäinen pyyntö palautti haitallisen latauksen ja myöhemmissä pyynnöissä epäilyttäviä tietoja.
Tärkeimmät tavat, joilla haitalliset lisäosat leviävät, ovat ammattimaisen näköisten sivustojen mainostaminen (kuten alla olevassa kuvassa) ja sijoittaminen Chrome Web Storeen ohittaen vahvistusmekanismit koodin myöhempää lataamista varten ulkoisista sivustoista. Ohittaakseen lisäosien asentamista koskevat rajoitukset vain Chrome Web Storesta hyökkääjät jakoivat erillisiä Chromiumin kokoonpanoja esiasennettujen lisäosien kanssa ja asensivat ne myös järjestelmässä jo olevien mainossovellusten (Adware) kautta. Tutkijat analysoivat 100 rahoitus-, media-, lääke-, lääke-, öljy- ja kaasu- ja kauppayhtiöiden verkostoa sekä koulutus- ja valtion laitoksia ja löysivät jälkiä haitallisista lisäosista lähes kaikista.
Haitallisten lisäosien jakelukampanjan aikana yli , jotka leikkaavat suosittuja sivustoja (esimerkiksi gmaille.com, youtubeunblocked.net jne.) tai rekisteröityvät aiemmin olemassa olevien verkkotunnusten uusimisajan päätyttyä. Näitä verkkotunnuksia käytettiin myös haitallisen toiminnan hallintainfrastruktuurissa ja haitallisten JavaScript-lisäkkeiden lataamiseen, jotka suoritettiin käyttäjän avaamien sivujen yhteydessä.
Tutkijat epäilivät salaliittoa Galcommin verkkotunnusten rekisteröijän kanssa, jossa rekisteröitiin 15 tuhatta verkkotunnusta haitallisille toimille (60 % kaikista tämän rekisteröijän myöntämistä verkkotunnuksista), mutta Galcommin edustajat Nämä oletukset osoittivat, että 25 % luetelluista verkkotunnuksista on jo poistettu tai niitä ei ole julkaissut Galcomm, ja loput, melkein kaikki, ovat ei-aktiivisia varattuja verkkotunnuksia. Galcommin edustajat kertoivat myös, että kukaan ei ottanut heihin yhteyttä ennen raportin julkistamista, ja he saivat kolmannelta osapuolelta luettelon haitallisiin tarkoituksiin käytetyistä verkkotunnuksista ja ovat nyt suorittamassa analyysiään niistä.
Ongelman tunnistaneet tutkijat vertaavat haitallisia lisäosia uuteen rootkittiin - useiden käyttäjien pääasiallinen toiminta tapahtuu selaimen kautta, jonka kautta he pääsevät jaettuun dokumenttivarastointiin, yritysten tietojärjestelmiin ja talouspalveluihin. Tällaisissa olosuhteissa hyökkääjien ei ole järkevää etsiä tapoja vaarantaa käyttöjärjestelmä täydellisen rootkitin asentamiseksi - on paljon helpompaa asentaa haitallinen selaimen lisäosa ja hallita luottamuksellisten tietojen virtaa. se. Liikennetietojen valvonnan lisäksi lisäosa voi pyytää lupia käyttää paikallisia tietoja, verkkokameraa tai sijaintia. Kuten käytäntö osoittaa, useimmat käyttäjät eivät kiinnitä huomiota pyydettyihin käyttöoikeuksiin, ja 80% 1000 suositusta lisäosasta pyytää pääsyä kaikkien käsiteltyjen sivujen tietoihin.
Lähde: opennet.ru