Apsardzes uzņēmums Awake
Tiek pieņemts, ka visus apsvērtos papildinājumus sagatavoja viena uzbrucēju komanda, jo kopumā
Papildinājumu izstrādātāji vispirms Chrome veikalā ievietoja tīru versiju bez ļaunprātīga koda, tika veikta salīdzinošā pārskatīšana un pēc tam pievienoja izmaiņas vienā no atjauninājumiem, kas pēc instalēšanas ielādēja ļaunprātīgu kodu. Lai slēptu ļaunprātīgas darbības pēdas, tika izmantots arī selektīvas atbildes paņēmiens - pirmais pieprasījums atgrieza ļaunprātīgu lejupielādi, bet nākamie pieprasījumi atgrieza neaizdomīgus datus.
Galvenie veidi, kā ļaunprātīgi papildinājumi izplatās, ir profesionāla izskata vietņu reklamēšana (kā tālāk redzamajā attēlā) un ievietošana Chrome interneta veikalā, apejot verifikācijas mehānismus turpmākai koda lejupielādei no ārējām vietnēm. Lai apietu ierobežojumus pievienojumprogrammu instalēšanai tikai no Chrome interneta veikala, uzbrucēji izplatīja atsevišķus Chromium komplektus ar iepriekš instalētiem papildinājumiem, kā arī instalēja tos, izmantojot sistēmā jau esošās reklamēšanas lietojumprogrammas (Adware). Pētnieki analizēja 100 finanšu, plašsaziņas līdzekļu, medicīnas, farmācijas, naftas un gāzes un tirdzniecības uzņēmumu tīklus, kā arī izglītības un valdības iestādes un gandrīz visos no tiem atklāja ļaunprātīgo papildinājumu klātbūtnes pēdas.
Ļaunprātīgu papildinājumu izplatīšanas kampaņas laikā vairāk nekā
Pētniekiem radās aizdomas par sazvērestību ar Galcomm domēnu reģistratūru, kurā tika reģistrēti 15 tūkstoši domēnu ļaunprātīgām darbībām (60% no visiem šī reģistratūras izsniegtajiem domēniem), bet Galcomm pārstāvji
Problēmu identificējušie pētnieki salīdzina kaitīgos papildinājumus ar jaunu rootkit – daudzu lietotāju galvenā darbība tiek veikta, izmantojot pārlūkprogrammu, caur kuru viņi piekļūst koplietojamai dokumentu krātuvei, korporatīvajām informācijas sistēmām un finanšu pakalpojumiem. Šādos apstākļos uzbrucējiem nav jēgas meklēt veidus, kā pilnībā kompromitēt operētājsistēmu, lai instalētu pilnvērtīgu saknes komplektu - ir daudz vieglāk instalēt ļaunprātīgu pārlūkprogrammas papildinājumu un kontrolēt konfidenciālo datu plūsmu, izmantojot to. Papildus tranzīta datu uzraudzībai pievienojumprogramma var pieprasīt atļaujas piekļūt vietējiem datiem, tīmekļa kamerai vai atrašanās vietai. Kā liecina prakse, lielākā daļa lietotāju nepievērš uzmanību pieprasītajām atļaujām, un 80% no 1000 populārajiem papildinājumiem pieprasa piekļuvi visu apstrādāto lapu datiem.
Avots: opennet.ru