Société de sécurité éveillée
On suppose que tous les ajouts considérés ont été préparés par une seule équipe d'attaquants, car dans tous les cas
Les développeurs de modules complémentaires ont d'abord publié une version propre sans code malveillant dans le Chrome Store, ont été soumis à un examen par les pairs, puis ont ajouté des modifications dans l'une des mises à jour qui chargeaient du code malveillant après l'installation. Pour masquer les traces d'activités malveillantes, une technique de réponse sélective a également été utilisée : la première requête renvoyait un téléchargement malveillant et les requêtes suivantes renvoyaient des données non suspectes.
Les modules complémentaires malveillants se propagent principalement via la promotion de sites d'aspect professionnel (comme dans l'image ci-dessous) et leur placement dans le Chrome Web Store, en contournant les mécanismes de vérification pour le téléchargement ultérieur de code à partir de sites externes. Pour contourner les restrictions sur l'installation de modules complémentaires uniquement à partir du Chrome Web Store, les attaquants ont distribué des assemblages séparés de Chromium avec des modules complémentaires préinstallés, et les ont également installés via des applications publicitaires (Adware) déjà présentes dans le système. Les chercheurs ont analysé 100 réseaux de sociétés financières, médiatiques, médicales, pharmaceutiques, pétrolières, gazières et commerciales, ainsi que des institutions éducatives et gouvernementales, et ont trouvé des traces de la présence de modules complémentaires malveillants dans presque tous.
Lors de la campagne de distribution de modules complémentaires malveillants, plus de
Les chercheurs soupçonnent un complot avec le registraire de domaines Galcomm, dans lequel 15 60 domaines pour activités malveillantes ont été enregistrés (XNUMX % de tous les domaines émis par ce registraire), mais les représentants de Galcomm
Les chercheurs qui ont identifié le problème comparent les modules complémentaires malveillants à un nouveau rootkit : l'activité principale de nombreux utilisateurs s'effectue via un navigateur, via lequel ils accèdent au stockage partagé de documents, aux systèmes d'information d'entreprise et aux services financiers. Dans de telles conditions, cela n'a aucun sens pour les attaquants de chercher des moyens de compromettre complètement le système d'exploitation afin d'installer un rootkit à part entière - il est beaucoup plus facile d'installer un module complémentaire de navigateur malveillant et de contrôler le flux de données confidentielles via il. En plus de surveiller les données de transit, le module complémentaire peut demander des autorisations pour accéder aux données locales, à une webcam ou à un emplacement. Comme le montre la pratique, la plupart des utilisateurs ne prêtent pas attention aux autorisations demandées et 80 % des 1000 XNUMX modules complémentaires populaires demandent l'accès aux données de toutes les pages traitées.
Source: opennet.ru