Apsardzes uzņēmums Awake par identificēšanu pārlūkam Google Chrome, nosūtot konfidenciālus lietotāja datus ārējiem serveriem. Papildinājumiem bija arī piekļuve ekrānuzņēmumu uzņemšanai, starpliktuves satura lasīšanai, piekļuves pilnvaru klātbūtnes analīzei sīkfailos un ievades pārtveršanai tīmekļa veidlapās. Kopumā identificētie kaitīgie papildinājumi Chrome interneta veikalā tika lejupielādēti 32.9 miljonu reižu, bet populārākais (Search Manager) tika lejupielādēts 10 miljonus reižu un ietver 22 tūkstošus atsauksmju.
Tiek pieņemts, ka visus apsvērtos papildinājumus sagatavoja viena uzbrucēju komanda, jo kopumā tipiska shēma konfidenciālu datu izplatīšanai un tveršanas organizēšanai, kā arī kopīgi dizaina elementi un atkārtots kods. ar ļaunprātīgu kodu tika ievietoti Chrome veikala katalogā un jau tika izdzēsti pēc paziņojuma par ļaunprātīgu darbību nosūtīšanas. Daudzi ļaunprātīgi papildinājumi kopēja dažādu populāru papildinājumu funkcionalitāti, tostarp tos, kuru mērķis ir nodrošināt papildu pārlūkprogrammas drošību, palielināt meklēšanas privātumu, PDF konvertēšanu un formātu konvertēšanu.
Papildinājumu izstrādātāji vispirms Chrome veikalā ievietoja tīru versiju bez ļaunprātīga koda, tika veikta salīdzinošā pārskatīšana un pēc tam pievienoja izmaiņas vienā no atjauninājumiem, kas pēc instalēšanas ielādēja ļaunprātīgu kodu. Lai slēptu ļaunprātīgas darbības pēdas, tika izmantots arī selektīvas atbildes paņēmiens - pirmais pieprasījums atgrieza ļaunprātīgu lejupielādi, bet nākamie pieprasījumi atgrieza neaizdomīgus datus.
Galvenie veidi, kā ļaunprātīgi papildinājumi izplatās, ir profesionāla izskata vietņu reklamēšana (kā tālāk redzamajā attēlā) un ievietošana Chrome interneta veikalā, apejot verifikācijas mehānismus turpmākai koda lejupielādei no ārējām vietnēm. Lai apietu ierobežojumus pievienojumprogrammu instalēšanai tikai no Chrome interneta veikala, uzbrucēji izplatīja atsevišķus Chromium komplektus ar iepriekš instalētiem papildinājumiem, kā arī instalēja tos, izmantojot sistēmā jau esošās reklamēšanas lietojumprogrammas (Adware). Pētnieki analizēja 100 finanšu, plašsaziņas līdzekļu, medicīnas, farmācijas, naftas un gāzes un tirdzniecības uzņēmumu tīklus, kā arī izglītības un valdības iestādes un gandrīz visos no tiem atklāja ļaunprātīgo papildinājumu klātbūtnes pēdas.
Ļaunprātīgu papildinājumu izplatīšanas kampaņas laikā vairāk nekā , kas krustojas ar populārām vietnēm (piemēram, gmaille.com, youtubeunblocked.net u.c.) vai reģistrētas pēc atjaunošanas perioda beigām iepriekš esošajiem domēniem. Šie domēni tika izmantoti arī ļaunprātīgu darbību pārvaldības infrastruktūrā un ļaunprātīgu JavaScript ieliktņu lejupielādei, kas tika izpildīti lietotāja atvērto lapu kontekstā.
Pētniekiem radās aizdomas par sazvērestību ar Galcomm domēnu reģistratūru, kurā tika reģistrēti 15 tūkstoši domēnu ļaunprātīgām darbībām (60% no visiem šī reģistratūras izsniegtajiem domēniem), bet Galcomm pārstāvji Šie pieņēmumi norādīja, ka 25% no uzskaitītajiem domēniem jau ir izdzēsti vai tos nav izsniedzis Galcomm, bet pārējie gandrīz visi ir neaktīvi rezervēti domēni. Galcomm pārstāvji arī ziņoja, ka neviens ar viņiem nav sazinājies pirms ziņojuma publiskas izpaušanas, un viņi no trešās puses saņēma sarakstu ar domēniem, kas tika izmantoti ļaunprātīgos nolūkos, un tagad veic to analīzi.
Problēmu identificējušie pētnieki salīdzina kaitīgos papildinājumus ar jaunu rootkit – daudzu lietotāju galvenā darbība tiek veikta, izmantojot pārlūkprogrammu, caur kuru viņi piekļūst koplietojamai dokumentu krātuvei, korporatīvajām informācijas sistēmām un finanšu pakalpojumiem. Šādos apstākļos uzbrucējiem nav jēgas meklēt veidus, kā pilnībā kompromitēt operētājsistēmu, lai instalētu pilnvērtīgu saknes komplektu - ir daudz vieglāk instalēt ļaunprātīgu pārlūkprogrammas papildinājumu un kontrolēt konfidenciālo datu plūsmu, izmantojot to. Papildus tranzīta datu uzraudzībai pievienojumprogramma var pieprasīt atļaujas piekļūt vietējiem datiem, tīmekļa kamerai vai atrašanās vietai. Kā liecina prakse, lielākā daļa lietotāju nepievērš uzmanību pieprasītajām atļaujām, un 80% no 1000 populārajiem papildinājumiem pieprasa piekļuvi visu apstrādāto lapu datiem.
Avots: opennet.ru