アウェイクセキュリティカンパニー
考慮されたすべての追加は、攻撃者の XNUMX チームによって準備されたと想定されます。
アドオン開発者は、まず悪意のあるコードを含まないクリーンなバージョンを Chrome ストアに投稿し、ピアレビューを受けて、インストール後に悪意のあるコードを読み込むアップデートの XNUMX つに変更を追加しました。 悪意のあるアクティビティの痕跡を隠すために、選択的応答手法も使用されました。最初のリクエストでは悪意のあるダウンロードが返され、その後のリクエストでは疑わしいデータが返されませんでした。
悪意のあるアドオンが拡散する主な方法は、プロ仕様のサイト (下の図のような) の宣伝や Chrome ウェブストアへの配置によって、その後の外部サイトからのコードのダウンロードの検証メカニズムをバイパスすることです。 Chrome Web ストアからのみアドオンをインストールするという制限を回避するために、攻撃者は、アドオンがプレインストールされた Chromium の別個のアセンブリを配布し、また、システムにすでに存在する広告アプリケーション (アドウェア) を通じてそれらをインストールしました。 研究者らは金融、メディア、医療、製薬、石油・ガス、商社、教育機関、政府機関などの100のネットワークを分析し、そのほぼすべてで悪意のあるアドオンが存在する痕跡を発見した。
悪意のあるアドオンを配布するキャンペーン中、
研究者らは、悪意のある活動のための 15 個のドメイン (このレジストラによって発行された全ドメインの 60%) が登録されていた Galcomm ドメイン レジストラとの共謀を疑いましたが、Galcomm の代表者は
問題を特定した研究者らは、悪意のあるアドオンと新しいルートキットを比較しています。多くのユーザーの主な活動はブラウザを通じて行われ、共有ドキュメント ストレージ、企業情報システム、金融サービスにアクセスします。 このような状況では、攻撃者が本格的なルートキットをインストールするためにオペレーティング システムを完全に侵害する方法を探すのは意味がありません。悪意のあるブラウザ アドオンをインストールして、機密データのフローを制御する方がはるかに簡単です。それ。 アドオンは、交通データの監視に加えて、ローカル データ、Web カメラ、または位置情報へのアクセス許可を要求できます。 実践が示すように、ほとんどのユーザーは要求されたアクセス許可に注意を払っておらず、80 個の人気のあるアドオンの 1000% が、処理されたすべてのページのデータへのアクセスを要求しています。
出所: オープンネット.ru