Awake Security Company նույնականացման մասին Google Chrome-ին՝ ուղարկելով օգտատերերի գաղտնի տվյալները արտաքին սերվերներին: Հավելվածները նաև հնարավորություն ունեին սքրինշոթեր նկարելու, clipboard-ի բովանդակությունը կարդալու, Cookies-ում մուտքի նշանների առկայությունը վերլուծելու և վեբ ձևաթղթերում մուտքագրելու հնարավորություն: Ընդհանուր առմամբ, հայտնաբերված վնասակար հավելումները Chrome Web Store-ում կազմել են 32.9 միլիոն ներբեռնումներ, իսկ ամենահայտնին (Search Manager) ներբեռնվել է 10 միլիոն անգամ և ներառում է 22 հազար ակնարկ:
Ենթադրվում է, որ բոլոր դիտարկված հավելումները պատրաստվել են հարձակվողների մեկ թիմի կողմից, քանի որ ընդհանուր առմամբ Գաղտնի տվյալների, ինչպես նաև ընդհանուր դիզայնի տարրերի և կրկնվող ծածկագրի տարածման և հավաքագրման կազմակերպման բնորոշ սխեմա: վնասակար կոդով տեղադրվել են Chrome Store-ի կատալոգում և արդեն ջնջվել են վնասակար գործունեության մասին ծանուցում ուղարկելուց հետո: Շատ վնասակար հավելումներ պատճենել են տարբեր հանրաճանաչ հավելումների ֆունկցիոնալությունը, ներառյալ այն, որոնք ուղղված են դիտարկիչի լրացուցիչ անվտանգության ապահովմանը, որոնման գաղտնիության բարձրացմանը, PDF-ի փոխակերպմանը և ձևաչափի փոխակերպմանը:
Հավելվածի մշակողները սկզբում տեղադրեցին մաքուր տարբերակ՝ առանց վնասակար կոդի Chrome Store-ում, ենթարկվեցին գործընկերների վերանայման, այնուհետև փոփոխություններ ավելացրին այն թարմացումներից մեկում, որը տեղադրվելուց հետո բեռնում էր վնասակար կոդը: Վնասակար գործունեության հետքերը թաքցնելու համար օգտագործվել է նաև ընտրովի պատասխան տեխնիկա՝ առաջին հարցումը վերադարձրել է վնասակար ներբեռնում, իսկ հետագա հարցումները վերադարձրել են կասկածելի տվյալներ:
Վնասակար հավելումների տարածման հիմնական ուղիները պրոֆեսիոնալ տեսք ունեցող կայքերի առաջխաղացումն է (ինչպես ստորև նկարում) և տեղադրումը Chrome Web Store-ում՝ շրջանցելով արտաքին կայքերից կոդի հետագա ներբեռնման ստուգման մեխանիզմները: Միայն Chrome Web Store-ից հավելումներ տեղադրելու սահմանափակումները շրջանցելու համար հարձակվողները Chromium-ի առանձին հավաքույթներ են բաժանել նախապես տեղադրված հավելումներով, ինչպես նաև տեղադրել դրանք համակարգում արդեն իսկ առկա գովազդային հավելվածների (Adware) միջոցով։ Հետազոտողները վերլուծել են ֆինանսական, մեդիա, բժշկական, դեղագործական, նավթի և գազի և առևտրային ընկերությունների 100 ցանցեր, ինչպես նաև կրթական և պետական հաստատություններ, և գրեթե բոլորում հայտնաբերել են վնասակար հավելումների առկայության հետքեր:
Վնասակար հավելումներ տարածելու արշավի ընթացքում ավելի քան , հատվելով հայտնի կայքերի հետ (օրինակ՝ gmaille.com, youtubeunblocked.net և այլն) կամ գրանցվել նախկինում գոյություն ունեցող տիրույթների նորացման ժամկետի ավարտից հետո։ Այս տիրույթներն օգտագործվել են նաև վնասակար գործունեության կառավարման ենթակառուցվածքում և ներբեռնելու JavaScript-ի վնասակար ներդիրները, որոնք գործարկվել են օգտագործողի բացած էջերի համատեքստում:
Հետազոտողները կասկածում էին Galcomm տիրույթի ռեգիստրի հետ դավադրության մասին, որում գրանցվել է վնասակար գործունեության 15 հազար տիրույթ (բոլոր տիրույթների 60%-ը թողարկվել է այս գրանցողի կողմից), սակայն Galcomm-ի ներկայացուցիչները. Այս ենթադրությունները ցույց էին տալիս, որ թվարկված տիրույթների 25%-ն արդեն ջնջվել է կամ չի թողարկվել Galcomm-ի կողմից, իսկ մնացածը՝ գրեթե բոլորը, անգործուն կայանված տիրույթներ են։ Galcomm-ի ներկայացուցիչները նաև հայտնել են, որ ոչ ոք իրենց հետ չի կապվել մինչև զեկույցի հրապարակումը, և նրանք երրորդ կողմից ստացել են չարամիտ նպատակներով օգտագործվող տիրույթների ցուցակը և այժմ իրենց վերլուծությունն են իրականացնում դրանց վերաբերյալ:
Խնդիրը հայտնաբերած հետազոտողները համեմատում են վնասակար հավելումները նոր rootkit-ի հետ. շատ օգտատերերի հիմնական գործունեությունն իրականացվում է բրաուզերի միջոցով, որի միջոցով նրանք մուտք են գործում ընդհանուր փաստաթղթերի պահեստավորում, կորպորատիվ տեղեկատվական համակարգեր և ֆինանսական ծառայություններ: Նման պայմաններում հարձակվողների համար անիմաստ է ուղիներ փնտրել օպերացիոն համակարգը ամբողջությամբ վտանգի ենթարկելու համար՝ լիարժեք rootkit տեղադրելու համար. շատ ավելի հեշտ է տեղադրել զննարկչի վնասակար հավելումը և վերահսկել գաղտնի տվյալների հոսքը: այն. Բացի տարանցման տվյալների մշտադիտարկումից, հավելումը կարող է թույլտվություններ պահանջել՝ մուտք գործելու տեղական տվյալներ, վեբ տեսախցիկ կամ տեղադրություն: Ինչպես ցույց է տալիս պրակտիկան, օգտատերերի մեծ մասը ուշադրություն չի դարձնում պահանջվող թույլտվություններին, և 80 հայտնի հավելումների 1000%-ը պահանջում է մուտք գործել բոլոր մշակված էջերի տվյալները:
Source: opennet.ru