Awake Security Company babagan ngenali menyang Google Chrome, ngirim data pangguna rahasia menyang server eksternal. Tambahan uga nduweni akses kanggo njupuk gambar, maca isi clipboard, nganalisa ananΓ© token akses ing Cookie, lan nyegat input ing formulir web. Secara total, add-on jahat sing diidentifikasi berjumlah 32.9 yuta download ing Toko Web Chrome, lan sing paling populer (Manajer Panelusuran) diundhuh kaping 10 yuta lan kalebu 22 ewu ulasan.
Dianggep kabeh tambahan sing dianggep disiapake dening siji tim penyerang, amarga kabeh skema khas kanggo nyebarke lan ngatur panangkepan data rahasia, uga unsur desain umum lan kode bola-bali. kanthi kode angkoro diselehake ing katalog Toko Chrome lan wis dibusak sawise ngirim kabar babagan kegiatan angkoro. Akeh add-on jahat sing nyalin fungsi saka macem-macem add-on populer, kalebu sing ngarahake nyedhiyakake keamanan browser tambahan, nambah privasi telusuran, konversi PDF, lan konversi format.
Pangembang tambahan pisanan ngirim versi sing resik tanpa kode angkoro ing Toko Chrome, ngalami peer review, lan banjur nambah owah-owahan ing salah sawijining nganyari sing ngemot kode angkoro sawise instalasi. Kanggo ndhelikake jejak aktivitas ala, teknik respon selektif uga digunakake - panjalukan pisanan ngasilake undhuhan ala, lan panjaluk sabanjure ngasilake data sing ora curiga.
Cara utama nyebarake tambahan sing mbebayani yaiku liwat promosi situs sing katon profesional (kaya ing gambar ing ngisor iki) lan penempatan ing Toko Web Chrome, ngliwati mekanisme verifikasi kanggo ndownload kode saka situs eksternal. Kanggo ngliwati watesan babagan nginstal tambahan mung saka Toko Web Chrome, para panyerang nyebarake rakitan Chromium sing kapisah kanthi tambahan sing wis diinstal, lan uga diinstal liwat aplikasi iklan (Adware) sing wis ana ing sistem kasebut. Peneliti nganalisa 100 jaringan finansial, media, medis, farmasi, minyak lan gas lan perusahaan dagang, uga institusi pendidikan lan pemerintah, lan nemokake jejak anane tambahan sing mbebayani ing meh kabeh.
Sajrone kampanye kanggo nyebarake add-on angkoro, luwih saka , intersecting karo situs populer (contone, gmaille.com, youtubeunblocked.net, etc.) utawa ndhaptar sawise kadaluwarsa periode nganyari maneh kanggo domain sadurunge ana. Domain iki uga digunakake ing prasarana manajemen aktivitas ala lan kanggo ngundhuh sisipan JavaScript ala sing dieksekusi ing konteks kaca sing dibukak pangguna.
Peneliti curiga konspirasi karo registrar domain Galcomm, ing ngendi 15 ewu domain kanggo aktivitas angkoro didaftar (60% kabeh domain sing diterbitake dening registrar iki), nanging wakil Galcomm Asumsi kasebut nuduhake yen 25% saka domain sing kadhaptar wis dibusak utawa ora ditanggepi dening Galcomm, lan liyane, meh kabeh minangka domain parkir sing ora aktif. Perwakilan Galcomm uga nglapurake yen ora ana sing ngubungi dheweke sadurunge laporan laporan kasebut, lan dheweke nampa dhaptar domain sing digunakake kanggo tujuan ala saka pihak katelu lan saiki lagi nganakake analisis.
Peneliti sing ngerteni masalah kasebut mbandhingake tambahan sing ala karo rootkit anyar - kegiatan utama akeh pangguna ditindakake liwat browser, sing ngakses panyimpenan dokumen sing dienggo bareng, sistem informasi perusahaan lan layanan finansial. Ing kahanan kaya mengkono, ora ana gunane para panyerang golek cara kanggo kompromi sistem operasi kanthi lengkap supaya bisa nginstal rootkit lengkap - luwih gampang nginstal add-on browser ala lan ngontrol aliran data rahasia liwat. iku. Saliyane ngawasi data transit, add-on bisa njaluk ijin kanggo ngakses data lokal, kamera web, utawa lokasi. Minangka praktik nuduhake, umume pangguna ora nggatekake ijin sing dijaluk, lan 80% saka 1000 tambahan populer njaluk akses menyang data kabeh kaca sing diproses.
Source: opennet.ru