Awake Security Company
Feltételezhető, hogy az összes figyelembe vett kiegészítést egy támadócsapat készítette elő, hiszen összesen
A bővítmények fejlesztői először egy tiszta, rosszindulatú kód nélküli verziót tettek közzé a Chrome Store-ban, szakértői felülvizsgálaton estek át, majd módosították az egyik frissítést, amely a telepítés után rosszindulatú kódot töltött be. A rosszindulatú tevékenység nyomainak elrejtésére szelektív válasz technikát is alkalmaztak - az első kérés rosszindulatú letöltést, a további kérések pedig gyanús adatokat küldtek vissza.
A rosszindulatú bővítmények terjedésének fő módja a professzionális megjelenésű webhelyek népszerűsítése (mint az alábbi képen) és a Chrome Internetes áruházban való elhelyezés, megkerülve a külső webhelyekről származó kód későbbi letöltéséhez szükséges ellenőrzési mechanizmusokat. A csak a Chrome Internetes áruházból történő bővítmények telepítésére vonatkozó korlátozások megkerülése érdekében a támadók a Chromium különálló összeállításait terjesztették előre telepített bővítményekkel, és a rendszerben már jelen lévő hirdetési alkalmazásokon (Adware) keresztül telepítették azokat. A kutatók 100 pénzügyi, média-, egészségügyi, gyógyszeripari, olaj- és gázipari és kereskedelmi vállalat hálózatát, valamint oktatási és kormányzati intézményeket elemeztek, és szinte mindegyikben megtalálták a rosszindulatú kiegészítők jelenlétének nyomait.
A rosszindulatú kiegészítőket terjesztő kampány során több mint
A kutatók összeesküvést gyanítottak a Galcomm domainregisztrátorral, amelyben 15 ezer rosszindulatú tevékenység céljára szolgáló domaint regisztráltak (az összes domain 60%-át ez a regisztrátor), de a Galcomm képviselői
A problémát azonosító kutatók a rosszindulatú bővítményeket egy új rootkittel hasonlítják össze – sok felhasználó fő tevékenysége böngészőn keresztül történik, amelyen keresztül a megosztott dokumentumtároláshoz, vállalati információs rendszerekhez és pénzügyi szolgáltatásokhoz férnek hozzá. Ilyen körülmények között nincs értelme a támadóknak az operációs rendszer teljes kompromittálásának módjait keresni egy teljes értékű rootkit telepítése érdekében - sokkal egyszerűbb egy rosszindulatú böngészőbővítmény telepítése és a bizalmas adatok áramlásának szabályozása. azt. A tömegközlekedési adatok figyelése mellett a bővítmény engedélyeket kérhet a helyi adatokhoz, webkamerához vagy helyhez való hozzáféréshez. A gyakorlat azt mutatja, hogy a legtöbb felhasználó nem figyel a kért engedélyekre, és az 80 népszerű kiegészítő 1000%-a az összes feldolgozott oldal adataihoz kér hozzáférést.
Forrás: opennet.ru