Perusahaan Keamanan Sadar tentang mengidentifikasi ke Google Chrome, mengirimkan data rahasia pengguna ke server eksternal. Add-on tersebut juga memiliki akses untuk mengambil tangkapan layar, membaca konten clipboard, menganalisis keberadaan token akses di Cookie, dan mencegat masukan dalam formulir web. Secara total, add-on berbahaya yang teridentifikasi berjumlah 32.9 juta unduhan di Toko Web Chrome, dan yang paling populer (Pengelola Pencarian) diunduh 10 juta kali dan mencakup 22 ribu ulasan.
Diasumsikan bahwa semua penambahan yang dipertimbangkan disiapkan oleh satu tim penyerang, karena semuanya skema khas untuk mendistribusikan dan mengatur pengambilan data rahasia, serta elemen desain umum dan kode berulang. dengan kode berbahaya ditempatkan di katalog Toko Chrome dan telah dihapus setelah mengirimkan pemberitahuan tentang aktivitas berbahaya. Banyak add-on berbahaya yang menyalin fungsionalitas berbagai add-on populer, termasuk yang bertujuan memberikan keamanan browser tambahan, meningkatkan privasi pencarian, konversi PDF, dan konversi format.
Pengembang add-on pertama-tama memposting versi bersih tanpa kode berbahaya di Toko Chrome, menjalani tinjauan sejawat, lalu menambahkan perubahan di salah satu pembaruan yang memuat kode berbahaya setelah instalasi. Untuk menyembunyikan jejak aktivitas jahat, teknik respons selektif juga digunakan - permintaan pertama mengembalikan unduhan berbahaya, dan permintaan berikutnya mengembalikan data yang tidak mencurigakan.
Cara utama penyebaran add-on berbahaya adalah melalui promosi situs yang terlihat profesional (seperti pada gambar di bawah) dan penempatan di Toko Web Chrome, melewati mekanisme verifikasi untuk pengunduhan kode berikutnya dari situs eksternal. Untuk melewati batasan pemasangan add-on hanya dari Toko Web Chrome, penyerang mendistribusikan rakitan Chromium terpisah dengan add-on yang sudah diinstal sebelumnya, dan juga menginstalnya melalui aplikasi periklanan (Adware) yang sudah ada di sistem. Para peneliti menganalisis 100 jaringan perusahaan keuangan, media, medis, farmasi, minyak dan gas dan perdagangan, serta lembaga pendidikan dan pemerintah, dan menemukan jejak keberadaan add-on berbahaya di hampir semua jaringan tersebut.
Selama kampanye untuk mendistribusikan add-on berbahaya, lebih dari , bersinggungan dengan situs populer (misalnya, gmaille.com, youtubeunblocked.net, dll.) atau terdaftar setelah berakhirnya masa perpanjangan untuk domain yang sudah ada sebelumnya. Domain ini juga digunakan dalam infrastruktur manajemen aktivitas berbahaya dan untuk mengunduh sisipan JavaScript berbahaya yang dieksekusi dalam konteks halaman yang dibuka pengguna.
Para peneliti mencurigai adanya konspirasi dengan registrar domain Galcomm, yang mendaftarkan 15 ribu domain untuk aktivitas jahat (60% dari semua domain yang dikeluarkan oleh registrar ini), tetapi perwakilan Galcomm Asumsi ini menunjukkan bahwa 25% dari domain yang terdaftar telah dihapus atau tidak diterbitkan oleh Galcomm, dan sisanya, hampir semuanya merupakan domain terparkir tidak aktif. Perwakilan Galcomm juga melaporkan bahwa tidak ada yang menghubungi mereka sebelum laporan tersebut diungkapkan kepada publik, dan mereka menerima daftar domain yang digunakan untuk tujuan jahat dari pihak ketiga dan sekarang sedang melakukan analisis terhadap domain tersebut.
Para peneliti yang mengidentifikasi masalah tersebut membandingkan add-on berbahaya dengan rootkit baru - aktivitas utama banyak pengguna dilakukan melalui browser, yang melaluinya mereka mengakses penyimpanan dokumen bersama, sistem informasi perusahaan, dan layanan keuangan. Dalam kondisi seperti itu, tidak masuk akal bagi penyerang untuk mencari cara untuk sepenuhnya menyusupi sistem operasi untuk menginstal rootkit lengkap - jauh lebih mudah untuk menginstal add-on browser berbahaya dan mengontrol aliran data rahasia melalui dia. Selain memantau data transit, add-on dapat meminta izin untuk mengakses data lokal, kamera web, atau lokasi. Seperti yang diperlihatkan oleh praktik, sebagian besar pengguna tidak memperhatikan izin yang diminta, dan 80% dari 1000 pengaya populer meminta akses ke data semua halaman yang diproses.
Sumber: opennet.ru