Compagnia di sicurezza sveglia sull'identificazione a Google Chrome, inviando dati utente riservati a server esterni. I componenti aggiuntivi avevano anche accesso all'acquisizione di screenshot, alla lettura del contenuto degli appunti, all'analisi della presenza di token di accesso nei cookie e all'intercettazione di input nei moduli web. In totale, i componenti aggiuntivi dannosi identificati hanno totalizzato 32.9 milioni di download nel Chrome Web Store e il più popolare (Search Manager) è stato scaricato 10 milioni di volte e comprende 22mila recensioni.
Si presume che tutte le aggiunte considerate siano state preparate da una squadra di attaccanti, poiché in tutto uno schema tipico per la distribuzione e l'organizzazione dell'acquisizione di dati riservati, nonché elementi di progettazione comuni e codice ripetuto. con codice dannoso sono stati inseriti nel catalogo del Chrome Store e sono già stati eliminati dopo aver inviato una notifica di attività dannosa. Molti componenti aggiuntivi dannosi copiavano le funzionalità di vari componenti aggiuntivi popolari, compresi quelli volti a fornire ulteriore sicurezza del browser, aumentare la privacy della ricerca, la conversione di PDF e di formato.
Gli sviluppatori dei componenti aggiuntivi hanno prima pubblicato una versione pulita senza codice dannoso nel Chrome Store, l'hanno sottoposta a peer review e quindi hanno aggiunto modifiche in uno degli aggiornamenti che caricavano codice dannoso dopo l'installazione. Per nascondere le tracce di attività dannose, è stata utilizzata anche una tecnica di risposta selettiva: la prima richiesta ha restituito un download dannoso e le richieste successive hanno restituito dati non sospetti.
I modi principali in cui si diffondono componenti aggiuntivi dannosi sono attraverso la promozione di siti dall'aspetto professionale (come nell'immagine seguente) e il posizionamento nel Chrome Web Store, aggirando i meccanismi di verifica per il successivo download di codice da siti esterni. Per aggirare le restrizioni sull'installazione di componenti aggiuntivi solo dal Chrome Web Store, gli aggressori hanno distribuito gruppi separati di Chromium con componenti aggiuntivi preinstallati e li hanno installati anche tramite applicazioni pubblicitarie (adware) già presenti nel sistema. I ricercatori hanno analizzato 100 reti di società finanziarie, mediatiche, mediche, farmaceutiche, petrolifere e di gas e commerciali, nonché istituzioni educative e governative, e hanno trovato tracce della presenza di componenti aggiuntivi dannosi in quasi tutte.
Durante la campagna per distribuire componenti aggiuntivi dannosi, più di , che si intersecano con siti popolari (ad esempio gmaille.com, youtubeunblocked.net, ecc.) o registrati dopo la scadenza del periodo di rinnovo per domini già esistenti. Questi domini venivano utilizzati anche nell'infrastruttura di gestione delle attività dannose e per scaricare inserti JavaScript dannosi eseguiti nel contesto delle pagine aperte dall'utente.
I ricercatori sospettavano una cospirazione con il registrar di domini Galcomm, in cui erano registrati 15mila domini per attività dannose (il 60% di tutti i domini emessi da questo registrar), ma i rappresentanti di Galcomm Queste ipotesi indicano che il 25% dei domini elencati sono già stati cancellati o non sono stati rilasciati da Galcomm, mentre il resto sono quasi tutti domini parcheggiati inattivi. I rappresentanti di Galcomm hanno inoltre riferito che nessuno li ha contattati prima della divulgazione pubblica del rapporto e che hanno ricevuto un elenco di domini utilizzati per scopi dannosi da terzi e stanno ora conducendo le loro analisi su di essi.
I ricercatori che hanno identificato il problema hanno confrontato i componenti aggiuntivi dannosi con un nuovo rootkit: l'attività principale di molti utenti viene svolta tramite un browser, attraverso il quale accedono all'archiviazione condivisa di documenti, ai sistemi informativi aziendali e ai servizi finanziari. In tali condizioni, non ha senso che gli aggressori cerchino modi per compromettere completamente il sistema operativo per installare un rootkit completo: è molto più semplice installare un componente aggiuntivo dannoso del browser e controllare il flusso di dati riservati attraverso Esso. Oltre a monitorare i dati di transito, il componente aggiuntivo può richiedere autorizzazioni per accedere ai dati locali, a una webcam o alla posizione. Come dimostra la pratica, la maggior parte degli utenti non presta attenzione alle autorizzazioni richieste e l'80% dei 1000 componenti aggiuntivi più diffusi richiede l'accesso ai dati di tutte le pagine elaborate.
Fonte: opennet.ru