Awake Security Company
Suponse que todos os complementos considerados foron preparados por un equipo de atacantes, xa que en total
Os desenvolvedores de complementos publicaron primeiro unha versión limpa sen código malicioso na Chrome Store, pasaron por unha revisión e despois engadiron cambios nunha das actualizacións que cargaron o código malicioso despois da instalación. Para ocultar rastros de actividade maliciosa, tamén se utilizou unha técnica de resposta selectiva: na primeira solicitude, emitiuse unha descarga maliciosa e, en solicitudes posteriores, emitíronse datos non sospeitosos.
A promoción de sitios de aspecto profesional (como na imaxe de abaixo) e a colocación na Chrome Web Store, evitando os mecanismos de verificación para as descargas posteriores de código de sitios externos, identificáronse como as principais formas de difundir complementos maliciosos. Para evitar as restricións á instalación de complementos só desde Chrome Web Store, os atacantes distribuíron versións individuais de Chromium con complementos preinstalados, e tamén se instalaron a través de aplicacións publicitarias (adware) xa presentes no sistema. Os investigadores analizaron 100 redes de empresas financeiras, mediáticas, médicas, farmacéuticas, de petróleo e gas e de comercio, así como institucións educativas e gobernamentais, e en case todas revelaron rastros dos complementos maliciosos en cuestión.
Ao longo da campaña de malware, máis de
Os investigadores sospeitaban de colusión co rexistrador de dominios Galcomm, no que se rexistraron 15 dominios por accións maliciosas (o 60% de todos os dominios emitidos por este rexistrador), pero representantes de Galcomm
Os investigadores que identificaron o problema comparan complementos maliciosos cun novo rootkit: a actividade principal de moitos usuarios realízase a través dun navegador a través do cal se accede a almacenamentos de documentos conxuntos, sistemas de información corporativos e servizos financeiros. En tales condicións, non ten sentido que os atacantes busquen formas de comprometer completamente o sistema operativo para instalar un rootkit completo; é moito máis doado instalar un complemento de navegador malicioso e controlar os fluxos de datos confidenciais a través del. Ademais de controlar os datos de tránsito, o complemento pode solicitar permisos para acceder a datos locais, cámara web e localización. Como mostra a práctica, a maioría dos usuarios non prestan atención aos permisos solicitados e o 80% dos 1000 complementos populares solicitan acceso aos datos de todas as páxinas procesadas.
Fonte: opennet.ru