Société de sécurité éveillée sur l'identification à Google Chrome, envoyant des données utilisateur confidentielles à des serveurs externes. Les modules complémentaires avaient également accès à la prise de captures d'écran, à la lecture du contenu du presse-papiers, à l'analyse de la présence de jetons d'accès dans les cookies et à l'interception des entrées dans les formulaires Web. Au total, les modules complémentaires malveillants identifiés ont totalisé 32.9 millions de téléchargements dans le Chrome Web Store, et le plus populaire (Search Manager) a été téléchargé 10 millions de fois et comprend 22 XNUMX avis.
On suppose que tous les ajouts considérés ont été préparés par une seule équipe d'attaquants, car dans tous les cas un schéma typique pour distribuer et organiser la capture de données confidentielles, ainsi que des éléments de conception communs et du code répété. contenant du code malveillant ont été placés dans le catalogue du Chrome Store et ont déjà été supprimés après l'envoi d'une notification concernant une activité malveillante. De nombreux modules complémentaires malveillants ont copié les fonctionnalités de divers modules complémentaires populaires, notamment ceux visant à fournir une sécurité supplémentaire au navigateur, à accroître la confidentialité des recherches, à convertir des PDF et à convertir des formats.
Les développeurs de modules complémentaires ont d'abord publié une version propre sans code malveillant dans le Chrome Store, ont été soumis à un examen par les pairs, puis ont ajouté des modifications dans l'une des mises à jour qui chargeaient du code malveillant après l'installation. Pour masquer les traces d'activités malveillantes, une technique de réponse sélective a également été utilisée : la première requête renvoyait un téléchargement malveillant et les requêtes suivantes renvoyaient des données non suspectes.
Les modules complémentaires malveillants se propagent principalement via la promotion de sites d'aspect professionnel (comme dans l'image ci-dessous) et leur placement dans le Chrome Web Store, en contournant les mécanismes de vérification pour le téléchargement ultérieur de code à partir de sites externes. Pour contourner les restrictions sur l'installation de modules complémentaires uniquement à partir du Chrome Web Store, les attaquants ont distribué des assemblages séparés de Chromium avec des modules complémentaires préinstallés, et les ont également installés via des applications publicitaires (Adware) déjà présentes dans le système. Les chercheurs ont analysé 100 réseaux de sociétés financières, médiatiques, médicales, pharmaceutiques, pétrolières, gazières et commerciales, ainsi que des institutions éducatives et gouvernementales, et ont trouvé des traces de la présence de modules complémentaires malveillants dans presque tous.
Lors de la campagne de distribution de modules complémentaires malveillants, plus de , croisant des sites populaires (par exemple, gmaille.com, youtubeunblocked.net, etc.) ou enregistrés après l'expiration de la période de renouvellement pour les domaines précédemment existants. Ces domaines étaient également utilisés dans l'infrastructure de gestion des activités malveillantes et pour télécharger des inserts JavaScript malveillants exécutés dans le contexte des pages ouvertes par l'utilisateur.
Les chercheurs soupçonnent un complot avec le registraire de domaines Galcomm, dans lequel 15 60 domaines pour activités malveillantes ont été enregistrés (XNUMX % de tous les domaines émis par ce registraire), mais les représentants de Galcomm Ces hypothèses indiquent que 25 % des domaines répertoriés ont déjà été supprimés ou n'ont pas été émis par Galcomm, et que le reste est presque tous des domaines parqués inactifs. Les représentants de Galcomm ont également signalé que personne ne les avait contactés avant la divulgation publique du rapport, et qu'ils avaient reçu d'un tiers une liste de domaines utilisés à des fins malveillantes et qu'ils menaient actuellement leur analyse sur ceux-ci.
Les chercheurs qui ont identifié le problème comparent les modules complémentaires malveillants à un nouveau rootkit : l'activité principale de nombreux utilisateurs s'effectue via un navigateur, via lequel ils accèdent au stockage partagé de documents, aux systèmes d'information d'entreprise et aux services financiers. Dans de telles conditions, cela n'a aucun sens pour les attaquants de chercher des moyens de compromettre complètement le système d'exploitation afin d'installer un rootkit à part entière - il est beaucoup plus facile d'installer un module complémentaire de navigateur malveillant et de contrôler le flux de données confidentielles via il. En plus de surveiller les données de transit, le module complémentaire peut demander des autorisations pour accéder aux données locales, à une webcam ou à un emplacement. Comme le montre la pratique, la plupart des utilisateurs ne prêtent pas attention aux autorisations demandées et 80 % des 1000 XNUMX modules complémentaires populaires demandent l'accès aux données de toutes les pages traitées.
Source: opennet.ru