Compagnia di sicurezza sveglia
Si presume che tutte le aggiunte considerate siano state preparate da una squadra di attaccanti, poiché in tutto
Gli sviluppatori dei componenti aggiuntivi hanno prima pubblicato una versione pulita senza codice dannoso nel Chrome Store, l'hanno sottoposta a peer review e quindi hanno aggiunto modifiche in uno degli aggiornamenti che caricavano codice dannoso dopo l'installazione. Per nascondere le tracce di attività dannose, è stata utilizzata anche una tecnica di risposta selettiva: la prima richiesta ha restituito un download dannoso e le richieste successive hanno restituito dati non sospetti.
I modi principali in cui si diffondono componenti aggiuntivi dannosi sono attraverso la promozione di siti dall'aspetto professionale (come nell'immagine seguente) e il posizionamento nel Chrome Web Store, aggirando i meccanismi di verifica per il successivo download di codice da siti esterni. Per aggirare le restrizioni sull'installazione di componenti aggiuntivi solo dal Chrome Web Store, gli aggressori hanno distribuito gruppi separati di Chromium con componenti aggiuntivi preinstallati e li hanno installati anche tramite applicazioni pubblicitarie (adware) già presenti nel sistema. I ricercatori hanno analizzato 100 reti di società finanziarie, mediatiche, mediche, farmaceutiche, petrolifere e di gas e commerciali, nonché istituzioni educative e governative, e hanno trovato tracce della presenza di componenti aggiuntivi dannosi in quasi tutte.
Durante la campagna per distribuire componenti aggiuntivi dannosi, più di
I ricercatori sospettavano una cospirazione con il registrar di domini Galcomm, in cui erano registrati 15mila domini per attività dannose (il 60% di tutti i domini emessi da questo registrar), ma i rappresentanti di Galcomm
I ricercatori che hanno identificato il problema hanno confrontato i componenti aggiuntivi dannosi con un nuovo rootkit: l'attività principale di molti utenti viene svolta tramite un browser, attraverso il quale accedono all'archiviazione condivisa di documenti, ai sistemi informativi aziendali e ai servizi finanziari. In tali condizioni, non ha senso che gli aggressori cerchino modi per compromettere completamente il sistema operativo per installare un rootkit completo: è molto più semplice installare un componente aggiuntivo dannoso del browser e controllare il flusso di dati riservati attraverso Esso. Oltre a monitorare i dati di transito, il componente aggiuntivo può richiedere autorizzazioni per accedere ai dati locali, a una webcam o alla posizione. Come dimostra la pratica, la maggior parte degli utenti non presta attenzione alle autorizzazioni richieste e l'80% dei 1000 componenti aggiuntivi più diffusi richiede l'accesso ai dati di tutte le pagine elaborate.
Fonte: opennet.ru