Awake Security Company sobre a identificación a Google Chrome, enviando datos confidenciais de usuario a servidores externos. Incluíndo complementos, tivo acceso para crear capturas de pantalla, ler o contido do portapapeis, analizar a presenza de tokens de acceso en Cookies e interceptar entradas en formularios web. En total, os complementos maliciosos detectados sumaron 32.9 millóns de descargas na Chrome Web Store, e o máis popular (Search Manager) descargouse 10 millóns de veces e inclúe 22 recensións.
Suponse que todos os complementos considerados foron preparados por un equipo de atacantes, xa que en total un esquema típico para a distribución e organización da captura de datos confidenciais, así como elementos comúns de deseño e código repetitivo. con código malicioso colocáronse no catálogo de Chrome Store e xa se eliminaron despois de enviar a notificación de actividade maliciosa. Moitos complementos maliciosos copiaron a funcionalidade de varios complementos populares, incluídos os destinados a proporcionar protección adicional para o navegador, mellorar a privacidade da busca, a conversión de PDF e a conversión de formatos.
Os desenvolvedores de complementos publicaron primeiro unha versión limpa sen código malicioso na Chrome Store, pasaron por unha revisión e despois engadiron cambios nunha das actualizacións que cargaron o código malicioso despois da instalación. Para ocultar rastros de actividade maliciosa, tamén se utilizou unha técnica de resposta selectiva: na primeira solicitude, emitiuse unha descarga maliciosa e, en solicitudes posteriores, emitíronse datos non sospeitosos.
A promoción de sitios de aspecto profesional (como na imaxe de abaixo) e a colocación na Chrome Web Store, evitando os mecanismos de verificación para as descargas posteriores de código de sitios externos, identificáronse como as principais formas de difundir complementos maliciosos. Para evitar as restricións á instalación de complementos só desde Chrome Web Store, os atacantes distribuíron versións individuais de Chromium con complementos preinstalados, e tamén se instalaron a través de aplicacións publicitarias (adware) xa presentes no sistema. Os investigadores analizaron 100 redes de empresas financeiras, mediáticas, médicas, farmacéuticas, de petróleo e gas e de comercio, así como institucións educativas e gobernamentais, e en case todas revelaron rastros dos complementos maliciosos en cuestión.
Ao longo da campaña de malware, máis de , que se cruzan con sitios populares (por exemplo, gmaille.com, youtubeunblocked.net, etc.) ou rexistrados despois do vencemento do período de renovación de dominios xa existentes. Estes dominios tamén se utilizaron na infraestrutura de control de malware e para descargar insercións de JavaScript maliciosos que se executan no contexto das páxinas que abre o usuario.
Os investigadores sospeitaban de colusión co rexistrador de dominios Galcomm, no que se rexistraron 15 dominios por accións maliciosas (o 60% de todos os dominios emitidos por este rexistrador), pero representantes de Galcomm estes supostos e indicaron que o 25% dos dominios enumerados xa foron eliminados ou emitidos por Galcomm, e o resto son case todos dominios aparcados inactivos. Os representantes de Galcomm tamén dixeron que, antes da divulgación pública do informe, ninguén se puxo en contacto con eles e recibiron unha lista de dominios utilizados con fins maliciosos por parte dun terceiro e agora están a realizar a súa análise sobre eles.
Os investigadores que identificaron o problema comparan complementos maliciosos cun novo rootkit: a actividade principal de moitos usuarios realízase a través dun navegador a través do cal se accede a almacenamentos de documentos conxuntos, sistemas de información corporativos e servizos financeiros. En tales condicións, non ten sentido que os atacantes busquen formas de comprometer completamente o sistema operativo para instalar un rootkit completo; é moito máis doado instalar un complemento de navegador malicioso e controlar os fluxos de datos confidenciais a través del. Ademais de controlar os datos de tránsito, o complemento pode solicitar permisos para acceder a datos locais, cámara web e localización. Como mostra a práctica, a maioría dos usuarios non prestan atención aos permisos solicitados e o 80% dos 1000 complementos populares solicitan acceso aos datos de todas as páxinas procesadas.
Fonte: opennet.ru