Оянған қауіпсіздік компаниясы анықтау туралы Google Chrome браузеріне құпия пайдаланушы деректерін сыртқы серверлерге жіберу. Қосымшаларда скриншоттарды түсіруге, алмасу буферінің мазмұнын оқуға, Cookie файлдарында кіру таңбалауыштарының болуын талдауға және веб-пішіндердегі енгізуді тоқтатуға рұқсаты болды. Барлығы анықталған зиянды қондырмалар Chrome Web Store дүкенінде 32.9 миллион жүктеуді құрады, ал ең танымалы (Іздеу менеджері) 10 миллион рет жүктеліп, 22 мың шолуды қамтиды.
Қарастырылған толықтырулардың барлығын шабуылшылардың бір командасы дайындаған деп болжанады, өйткені барлығы құпия деректерді, сондай-ақ жалпы дизайн элементтерін және қайталанатын кодты тарату және түсіруді ұйымдастырудың типтік схемасы. зиянды кодпен Chrome Store каталогына орналастырылды және зиянды әрекет туралы хабарландыру жіберілгеннен кейін жойылды. Көптеген зиянды қондырмалар әртүрлі танымал қондырмалардың, соның ішінде қосымша браузер қауіпсіздігін қамтамасыз етуге, іздеу құпиялығын арттыруға, PDF түрлендіруге және форматты түрлендіруге бағытталған функционалдық мүмкіндіктерін көшірді.
Қондырма әзірлеушілері алдымен Chrome дүкенінде зиянды коды жоқ таза нұсқаны жариялады, сараптамадан өтті, содан кейін орнатудан кейін зиянды кодты жүктеген жаңартулардың біріне өзгерістер қосты. Зиянды әрекет іздерін жасыру үшін таңдаулы жауап беру әдісі де қолданылды - бірінші сұрау зиянды жүктеуді қайтарды, ал кейінгі сұраулар күдікті деректерді қайтарды.
Зиянды қондырмалардың таралуының негізгі жолдары кәсіби көрінетін сайттарды жылжыту (төмендегі суреттегідей) және сыртқы сайттардан кодты кейін жүктеп алу үшін тексеру механизмдерін айналып өтіп, Chrome Web Store дүкенінде орналастыру болып табылады. Тек Chrome Web Store дүкенінен қондырмаларды орнатуға қойылған шектеулерді айналып өту үшін шабуылдаушылар алдын ала орнатылған қондырмалары бар Chromium-дың бөлек жинақтарын таратқан, сондай-ақ оларды жүйеде бұрыннан бар жарнамалық қолданбалар (Жарнамалық бағдарлама) арқылы орнатқан. Зерттеушілер қаржы, БАҚ, медициналық, фармацевтикалық, мұнай-газ және сауда компанияларының, сондай-ақ білім беру және мемлекеттік мекемелердің 100 желісін талдап, олардың барлығында дерлік зиянды қосымшалардың болуының іздерін тапты.
Зиянды қондырмаларды тарату науқаны кезінде, астам , танымал сайттармен қиылысады (мысалы, gmaille.com, youtubeunblocked.net және т.б.) немесе бұрын бар домендер үшін жаңарту мерзімі аяқталғаннан кейін тіркелген. Бұл домендер сонымен қатар зиянды әрекеттерді басқару инфрақұрылымында және пайдаланушы ашқан беттердің контекстінде орындалған зиянды JavaScript кірістірулерін жүктеп алу үшін пайдаланылды.
Зерттеушілер зиянды әрекеттерге арналған 15 мың домен тіркелген (осы тіркеуші шығарған барлық домендердің 60%) Galcomm домен тіркеушісімен жасалған қастандыққа күдіктенді, бірақ Galcomm өкілдері Бұл болжамдар аталған домендердің 25%-ы жойылғанын немесе Galcomm шығармағанын, ал қалғандарының барлығы дерлік белсенді емес тоқтатылған домендер екенін көрсетті. Сондай-ақ Galcomm өкілдері есеп жария етілгенге дейін олармен ешкім байланыспағанын және олар үшінші тараптан зиянды мақсатта пайдаланылған домендердің тізімін алғанын және қазір олар бойынша талдау жүргізіп жатқанын хабарлады.
Мәселені анықтаған зерттеушілер зиянды қондырмаларды жаңа руткитпен салыстырады - көптеген пайдаланушылардың негізгі қызметі шолғыш арқылы жүзеге асырылады, ол арқылы олар ортақ құжаттарды сақтауға, корпоративтік ақпараттық жүйелерге және қаржылық қызметтерге қол жеткізеді. Мұндай жағдайларда шабуылдаушыларға толыққанды руткиттерді орнату үшін операциялық жүйені толығымен бұзу жолдарын іздеудің мағынасы жоқ - зиянды шолғыш қондырмасын орнату және құпия деректердің ағынын бақылау әлдеқайда оңай. ол. Қондырма транзиттік деректерді бақылаудан басқа, жергілікті деректерге, веб-камераға немесе орынға кіру рұқсаттарын сұрай алады. Тәжірибе көрсеткендей, пайдаланушылардың көпшілігі сұралған рұқсаттарға назар аудармайды және 80 танымал қондырмалардың 1000% барлық өңделген беттердің деректеріне қол жеткізуді сұрайды.
Ақпарат көзі: opennet.ru