Vakandi öryggisfyrirtæki um að bera kennsl á til Google Chrome og sendir trúnaðargögn notenda til ytri netþjóna. Viðbæturnar höfðu einnig aðgang að því að taka skjámyndir, lesa innihald klemmuspjaldsins, greina tilvist aðgangsmerkja í vafrakökum og stöðva inntak á vefeyðublöðum. Alls voru auðkenndar skaðlegu viðbæturnar alls 32.9 milljónir niðurhala í Chrome Web Store og sú vinsælasta (Search Manager) var hlaðið niður 10 milljón sinnum og inniheldur 22 þúsund umsagnir.
Gert er ráð fyrir að allar umhugsaðar viðbætur hafi verið unnar af einu teymi árásarmanna, þar sem alls dæmigert kerfi til að dreifa og skipuleggja töku trúnaðargagna, svo og algengum hönnunarþáttum og endurteknum kóða. með skaðlegum kóða voru settir í Chrome Store vörulistann og var þegar eytt eftir að hafa sent tilkynningu um skaðsemi. Margar skaðlegar viðbætur afrituðu virkni ýmissa vinsælra viðbóta, þar á meðal þeirra sem miðuðu að því að veita aukið vafraöryggi, auka næði leitar, umbreytingu á PDF og sniðum.
Viðbótarframleiðendur birtu fyrst hreina útgáfu án skaðlegs kóða í Chrome Store, gengust undir ritrýni og bættu síðan við breytingum á einni af uppfærslunum sem hlaða skaðlegum kóða eftir uppsetningu. Til að fela ummerki um illgjarn virkni var einnig notuð sértæk viðbragðstækni - fyrsta beiðnin skilaði illgjarnu niðurhali og síðari beiðnir skiluðu grunlausum gögnum.
Helstu leiðirnar til að dreifa skaðlegum viðbótum eru með kynningu á vefsvæðum sem líta út fyrir fagmannlega útlit (eins og á myndinni hér að neðan) og staðsetningu í Chrome Web Store, þar sem framhjá staðfestingaraðferðum fyrir síðari niðurhal á kóða frá ytri síðum. Til að komast framhjá takmörkunum á því að setja upp viðbætur eingöngu frá Chrome Web Store, dreifðu árásarmennirnir aðskildum samsetningum af Chromium með fyrirfram uppsettum viðbótum og settu þær einnig upp í gegnum auglýsingaforrit (auglýsingaforrit) sem þegar voru til staðar í kerfinu. Vísindamenn greindu 100 net fjármála-, fjölmiðla-, læknis-, lyfja-, olíu- og gas- og viðskiptafyrirtækja, auk mennta- og ríkisstofnana, og fundu ummerki um tilvist illgjarnra viðbóta í næstum öllum þeirra.
Í herferðinni til að dreifa skaðlegum viðbótum, meira en , skerast vinsælar síður (til dæmis gmaille.com, youtubeunblocked.net, osfrv.) eða skráð eftir að endurnýjunartímabilið lýkur fyrir áður fyrirliggjandi lén. Þessi lén voru einnig notuð í innviðum stjórnunar á illgjarnri virkni og til að hlaða niður skaðlegum JavaScript innsetningum sem voru keyrðar í samhengi við síðurnar sem notandinn opnaði.
Vísindamenn grunuðu samsæri við Galcomm lénsritara, þar sem 15 þúsund lén fyrir illgjarn starfsemi voru skráð (60% allra léna sem þessi skrásetjari gaf út), en fulltrúar Galcomm Þessar forsendur gáfu til kynna að 25% af skráðum lénum hafi þegar verið eytt eða voru ekki gefin út af Galcomm, og restin, næstum öll eru óvirk lögð lén. Fulltrúar Galcomm greindu einnig frá því að enginn hafi haft samband við þá áður en skýrslan var birt opinberlega og þeir fengu lista yfir lén sem notuð voru í illgjarn tilgangi frá þriðja aðila og eru nú að gera greiningu sína á þeim.
Rannsakendurnir sem fundu vandamálið bera saman illgjarnar viðbætur við nýtt rootkit - aðalstarfsemi margra notenda fer fram í gegnum vafra, þar sem þeir fá aðgang að sameiginlegri skjalageymslu, upplýsingakerfum fyrirtækja og fjármálaþjónustu. Við slíkar aðstæður þýðir ekkert fyrir árásarmenn að leita leiða til að koma algjörlega í hættu á stýrikerfinu til að setja upp fullbúið rootkit - það er miklu auðveldara að setja upp skaðlega vafraviðbót og stjórna flæði trúnaðargagna í gegnum það. Auk þess að fylgjast með flutningsgögnum getur viðbótin beðið um heimildir til að fá aðgang að staðbundnum gögnum, vefmyndavél eða staðsetningu. Eins og venjan sýnir taka flestir notendur ekki gaum að umbeðnum heimildum og 80% af 1000 vinsælustu viðbótunum biðja um aðgang að gögnum allra unnar síður.
Heimild: opennet.ru