Perusahaan Keamanan Sadar
Diasumsikan bahwa semua penambahan yang dipertimbangkan disiapkan oleh satu tim penyerang, karena semuanya
Pengembang add-on pertama-tama memposting versi bersih tanpa kode berbahaya di Toko Chrome, menjalani tinjauan sejawat, lalu menambahkan perubahan di salah satu pembaruan yang memuat kode berbahaya setelah instalasi. Untuk menyembunyikan jejak aktivitas jahat, teknik respons selektif juga digunakan - permintaan pertama mengembalikan unduhan berbahaya, dan permintaan berikutnya mengembalikan data yang tidak mencurigakan.
Cara utama penyebaran add-on berbahaya adalah melalui promosi situs yang terlihat profesional (seperti pada gambar di bawah) dan penempatan di Toko Web Chrome, melewati mekanisme verifikasi untuk pengunduhan kode berikutnya dari situs eksternal. Untuk melewati batasan pemasangan add-on hanya dari Toko Web Chrome, penyerang mendistribusikan rakitan Chromium terpisah dengan add-on yang sudah diinstal sebelumnya, dan juga menginstalnya melalui aplikasi periklanan (Adware) yang sudah ada di sistem. Para peneliti menganalisis 100 jaringan perusahaan keuangan, media, medis, farmasi, minyak dan gas dan perdagangan, serta lembaga pendidikan dan pemerintah, dan menemukan jejak keberadaan add-on berbahaya di hampir semua jaringan tersebut.
Selama kampanye untuk mendistribusikan add-on berbahaya, lebih dari
Para peneliti mencurigai adanya konspirasi dengan registrar domain Galcomm, yang mendaftarkan 15 ribu domain untuk aktivitas jahat (60% dari semua domain yang dikeluarkan oleh registrar ini), tetapi perwakilan Galcomm
Para peneliti yang mengidentifikasi masalah tersebut membandingkan add-on berbahaya dengan rootkit baru - aktivitas utama banyak pengguna dilakukan melalui browser, yang melaluinya mereka mengakses penyimpanan dokumen bersama, sistem informasi perusahaan, dan layanan keuangan. Dalam kondisi seperti itu, tidak masuk akal bagi penyerang untuk mencari cara untuk sepenuhnya menyusupi sistem operasi untuk menginstal rootkit lengkap - jauh lebih mudah untuk menginstal add-on browser berbahaya dan mengontrol aliran data rahasia melalui dia. Selain memantau data transit, add-on dapat meminta izin untuk mengakses data lokal, kamera web, atau lokasi. Seperti yang diperlihatkan oleh praktik, sebagian besar pengguna tidak memperhatikan izin yang diminta, dan 80% dari 1000 pengaya populer meminta akses ke data semua halaman yang diproses.
Sumber: opennet.ru