Awake Security Company azonosításáról a Google Chrome-ba, bizalmas felhasználói adatokat küldve külső szervereknek. A kiegészítők képernyőképeket is készíthettek, elolvashatták a vágólap tartalmát, elemezték a Cookie-kban található hozzáférési tokenek jelenlétét, és elfoghatták a webes űrlapok bevitelét. Az azonosított rosszindulatú kiegészítőket összesen 32.9 millióan töltötték le a Chrome Internetes áruházban, a legnépszerűbbet (Search Manager) pedig 10 millió alkalommal töltötték le, és 22 ezer véleményt tartalmaz.
Feltételezhető, hogy az összes figyelembe vett kiegészítést egy támadócsapat készítette elő, hiszen összesen tipikus séma a bizalmas adatok elosztására és megszervezésére, valamint közös tervezési elemekre és ismételt kódokra. rosszindulatú kóddal kerültek a Chrome Store katalógusába, és már törölték őket, miután értesítést küldtek a rosszindulatú tevékenységről. Számos rosszindulatú bővítmény másolta le a különféle népszerű kiegészítők funkcióit, beleértve azokat is, amelyek a böngésző további biztonságát, a keresési adatvédelem növelését, a PDF-konverziót és a formátumkonverziót szolgálják.
A bővítmények fejlesztői először egy tiszta, rosszindulatú kód nélküli verziót tettek közzé a Chrome Store-ban, szakértői felülvizsgálaton estek át, majd módosították az egyik frissítést, amely a telepítés után rosszindulatú kódot töltött be. A rosszindulatú tevékenység nyomainak elrejtésére szelektív válasz technikát is alkalmaztak - az első kérés rosszindulatú letöltést, a további kérések pedig gyanús adatokat küldtek vissza.
A rosszindulatú bővítmények terjedésének fő módja a professzionális megjelenésű webhelyek népszerűsítése (mint az alábbi képen) és a Chrome Internetes áruházban való elhelyezés, megkerülve a külső webhelyekről származó kód későbbi letöltéséhez szükséges ellenőrzési mechanizmusokat. A csak a Chrome Internetes áruházból történő bővítmények telepítésére vonatkozó korlátozások megkerülése érdekében a támadók a Chromium különálló összeállításait terjesztették előre telepített bővítményekkel, és a rendszerben már jelen lévő hirdetési alkalmazásokon (Adware) keresztül telepítették azokat. A kutatók 100 pénzügyi, média-, egészségügyi, gyógyszeripari, olaj- és gázipari és kereskedelmi vállalat hálózatát, valamint oktatási és kormányzati intézményeket elemeztek, és szinte mindegyikben megtalálták a rosszindulatú kiegészítők jelenlétének nyomait.
A rosszindulatú kiegészítőket terjesztő kampány során több mint , amelyek keresztezik a népszerű webhelyeket (például gmaille.com, youtubeunblocked.net stb.), vagy regisztráltak a korábban meglévő domainek megújítási időszakának lejárta után. Ezeket a tartományokat a rosszindulatú tevékenységek kezelési infrastruktúrájában és a rosszindulatú JavaScript-beszúrások letöltésére is használták, amelyek a felhasználó által megnyitott oldalak kontextusában futottak le.
A kutatók összeesküvést gyanítottak a Galcomm domainregisztrátorral, amelyben 15 ezer rosszindulatú tevékenység céljára szolgáló domaint regisztráltak (az összes domain 60%-át ez a regisztrátor), de a Galcomm képviselői Ezek a feltételezések azt mutatták, hogy a felsorolt domainek 25%-át már törölte vagy nem a Galcomm adta ki, a többi pedig szinte mindegyik inaktív parkolt domain. A Galcomm képviselői arról is beszámoltak, hogy a jelentés nyilvánosságra hozatala előtt senki sem kereste meg őket, és egy harmadik féltől kaptak egy listát a rosszindulatú célokra használt domainekről, és most végzik az elemzésüket.
A problémát azonosító kutatók a rosszindulatú bővítményeket egy új rootkittel hasonlítják össze – sok felhasználó fő tevékenysége böngészőn keresztül történik, amelyen keresztül a megosztott dokumentumtároláshoz, vállalati információs rendszerekhez és pénzügyi szolgáltatásokhoz férnek hozzá. Ilyen körülmények között nincs értelme a támadóknak az operációs rendszer teljes kompromittálásának módjait keresni egy teljes értékű rootkit telepítése érdekében - sokkal egyszerűbb egy rosszindulatú böngészőbővítmény telepítése és a bizalmas adatok áramlásának szabályozása. azt. A tömegközlekedési adatok figyelése mellett a bővítmény engedélyeket kérhet a helyi adatokhoz, webkamerához vagy helyhez való hozzáféréshez. A gyakorlat azt mutatja, hogy a legtöbb felhasználó nem figyel a kért engedélyekre, és az 80 népszerű kiegészítő 1000%-a az összes feldolgozott oldal adataihoz kér hozzáférést.
Forrás: opennet.ru