Awake Security Company
Ենթադրվում է, որ բոլոր դիտարկված հավելումները պատրաստվել են հարձակվողների մեկ թիմի կողմից, քանի որ ընդհանուր առմամբ
Հավելվածի մշակողները սկզբում տեղադրեցին մաքուր տարբերակ՝ առանց վնասակար կոդի Chrome Store-ում, ենթարկվեցին գործընկերների վերանայման, այնուհետև փոփոխություններ ավելացրին այն թարմացումներից մեկում, որը տեղադրվելուց հետո բեռնում էր վնասակար կոդը: Վնասակար գործունեության հետքերը թաքցնելու համար օգտագործվել է նաև ընտրովի պատասխան տեխնիկա՝ առաջին հարցումը վերադարձրել է վնասակար ներբեռնում, իսկ հետագա հարցումները վերադարձրել են կասկածելի տվյալներ:
Վնասակար հավելումների տարածման հիմնական ուղիները պրոֆեսիոնալ տեսք ունեցող կայքերի առաջխաղացումն է (ինչպես ստորև նկարում) և տեղադրումը Chrome Web Store-ում՝ շրջանցելով արտաքին կայքերից կոդի հետագա ներբեռնման ստուգման մեխանիզմները: Միայն Chrome Web Store-ից հավելումներ տեղադրելու սահմանափակումները շրջանցելու համար հարձակվողները Chromium-ի առանձին հավաքույթներ են բաժանել նախապես տեղադրված հավելումներով, ինչպես նաև տեղադրել դրանք համակարգում արդեն իսկ առկա գովազդային հավելվածների (Adware) միջոցով։ Հետազոտողները վերլուծել են ֆինանսական, մեդիա, բժշկական, դեղագործական, նավթի և գազի և առևտրային ընկերությունների 100 ցանցեր, ինչպես նաև կրթական և պետական հաստատություններ, և գրեթե բոլորում հայտնաբերել են վնասակար հավելումների առկայության հետքեր:
Վնասակար հավելումներ տարածելու արշավի ընթացքում ավելի քան
Հետազոտողները կասկածում էին Galcomm տիրույթի ռեգիստրի հետ դավադրության մասին, որում գրանցվել է վնասակար գործունեության 15 հազար տիրույթ (բոլոր տիրույթների 60%-ը թողարկվել է այս գրանցողի կողմից), սակայն Galcomm-ի ներկայացուցիչները.
Խնդիրը հայտնաբերած հետազոտողները համեմատում են վնասակար հավելումները նոր rootkit-ի հետ. շատ օգտատերերի հիմնական գործունեությունն իրականացվում է բրաուզերի միջոցով, որի միջոցով նրանք մուտք են գործում ընդհանուր փաստաթղթերի պահեստավորում, կորպորատիվ տեղեկատվական համակարգեր և ֆինանսական ծառայություններ: Նման պայմաններում հարձակվողների համար անիմաստ է ուղիներ փնտրել օպերացիոն համակարգը ամբողջությամբ վտանգի ենթարկելու համար՝ լիարժեք rootkit տեղադրելու համար. շատ ավելի հեշտ է տեղադրել զննարկչի վնասակար հավելումը և վերահսկել գաղտնի տվյալների հոսքը: այն. Բացի տարանցման տվյալների մշտադիտարկումից, հավելումը կարող է թույլտվություններ պահանջել՝ մուտք գործելու տեղական տվյալներ, վեբ տեսախցիկ կամ տեղադրություն: Ինչպես ցույց է տալիս պրակտիկան, օգտատերերի մեծ մասը ուշադրություն չի դարձնում պահանջվող թույլտվություններին, և 80 հայտնի հավելումների 1000%-ը պահանջում է մուտք գործել բոլոր մշակված էջերի տվյալները:
Source: opennet.ru