アウェイクセキュリティカンパニー 識別について Google Chrome に送信し、機密ユーザー データを外部サーバーに送信します。 このアドオンは、スクリーンショットの取得、クリップボードの内容の読み取り、Cookie 内のアクセス トークンの存在の分析、Web フォームへの入力の傍受にもアクセスできました。 特定された悪意のあるアドオンは、Chrome ウェブストアで合計 32.9 万ダウンロードされ、最も人気のあるアドオン (検索マネージャー) は 10 万回ダウンロードされ、22 件のレビューが含まれていました。
考慮されたすべての追加は、攻撃者の XNUMX チームによって準備されたと想定されます。 機密データ、共通の設計要素、反復コードのキャプチャを分散および組織化するための典型的なスキーム。 悪意のあるコードを含むファイルは Chrome ストア カタログに配置され、悪意のあるアクティビティに関する通知を送信した後、すでに削除されていました。 多くの悪意のあるアドオンは、追加のブラウザー セキュリティの提供、検索プライバシーの強化、PDF 変換、形式変換を目的としたさまざまな一般的なアドオンの機能をコピーしました。
アドオン開発者は、まず悪意のあるコードを含まないクリーンなバージョンを Chrome ストアに投稿し、ピアレビューを受けて、インストール後に悪意のあるコードを読み込むアップデートの XNUMX つに変更を追加しました。 悪意のあるアクティビティの痕跡を隠すために、選択的応答手法も使用されました。最初のリクエストでは悪意のあるダウンロードが返され、その後のリクエストでは疑わしいデータが返されませんでした。
悪意のあるアドオンが拡散する主な方法は、プロ仕様のサイト (下の図のような) の宣伝や Chrome ウェブストアへの配置によって、その後の外部サイトからのコードのダウンロードの検証メカニズムをバイパスすることです。 Chrome Web ストアからのみアドオンをインストールするという制限を回避するために、攻撃者は、アドオンがプレインストールされた Chromium の別個のアセンブリを配布し、また、システムにすでに存在する広告アプリケーション (アドウェア) を通じてそれらをインストールしました。 研究者らは金融、メディア、医療、製薬、石油・ガス、商社、教育機関、政府機関などの100のネットワークを分析し、そのほぼすべてで悪意のあるアドオンが存在する痕跡を発見した。
悪意のあるアドオンを配布するキャンペーン中、 、人気のサイト (例: gmaille.com、youtubeunblocked.net など) と交差しているか、以前の既存のドメインの更新期間の期限が切れた後に登録されています。 これらのドメインは、悪意のあるアクティビティ管理インフラストラクチャでも使用され、ユーザーが開いたページのコンテキストで実行される悪意のある JavaScript 挿入をダウンロードするためにも使用されていました。
研究者らは、悪意のある活動のための 15 個のドメイン (このレジストラによって発行された全ドメインの 60%) が登録されていた Galcomm ドメイン レジストラとの共謀を疑いましたが、Galcomm の代表者は これらの仮定は、リストされたドメインの 25% がすでに削除されているか、Galcomm によって発行されておらず、残りのほぼすべてが非アクティブなパーク ドメインであることを示しています。 また、Galcomm の代表者らは、報告書の公開前に誰も彼らに連絡を取っておらず、第三者から悪意のある目的に使用されているドメインのリストを受け取り、現在分析を行っていると報告した。
問題を特定した研究者らは、悪意のあるアドオンと新しいルートキットを比較しています。多くのユーザーの主な活動はブラウザを通じて行われ、共有ドキュメント ストレージ、企業情報システム、金融サービスにアクセスします。 このような状況では、攻撃者が本格的なルートキットをインストールするためにオペレーティング システムを完全に侵害する方法を探すのは意味がありません。悪意のあるブラウザ アドオンをインストールして、機密データのフローを制御する方がはるかに簡単です。それ。 アドオンは、交通データの監視に加えて、ローカル データ、Web カメラ、または位置情報へのアクセス許可を要求できます。 実践が示すように、ほとんどのユーザーは要求されたアクセス許可に注意を払っておらず、80 個の人気のあるアドオンの 1000% が、処理されたすべてのページのデータへのアクセスを要求しています。
出所: オープンネット.ru