Syarikat Keselamatan Awake tentang mengenal pasti ke Google Chrome, menghantar data pengguna sulit ke pelayan luaran. Alat tambah juga mempunyai akses untuk mengambil tangkapan skrin, membaca kandungan papan keratan, menganalisis kehadiran token akses dalam Kuki, dan memintas input dalam borang web. Secara keseluruhan, alat tambah berniat jahat yang dikenal pasti berjumlah 32.9 juta muat turun di Kedai Web Chrome, dan yang paling popular (Pengurus Carian) telah dimuat turun sebanyak 10 juta kali dan termasuk 22 ribu ulasan.
Diandaikan bahawa semua penambahan yang dipertimbangkan telah disediakan oleh satu pasukan penyerang, kerana semuanya skim biasa untuk mengedar dan mengatur penangkapan data sulit, serta elemen reka bentuk biasa dan kod berulang. dengan kod hasad diletakkan dalam katalog Gedung Chrome dan telah pun dipadamkan selepas menghantar pemberitahuan tentang aktiviti hasad. Banyak alat tambah berniat jahat menyalin fungsi pelbagai alat tambah popular, termasuk yang bertujuan untuk menyediakan keselamatan penyemak imbas tambahan, meningkatkan privasi carian, penukaran PDF dan penukaran format.
Pembangun alat tambah mula-mula menyiarkan versi bersih tanpa kod hasad di Gedung Chrome, menjalani semakan rakan sebaya dan kemudian menambahkan perubahan dalam salah satu kemas kini yang memuatkan kod hasad selepas pemasangan. Untuk menyembunyikan kesan aktiviti berniat jahat, teknik tindak balas terpilih juga digunakan - permintaan pertama mengembalikan muat turun berniat jahat, dan permintaan seterusnya mengembalikan data yang tidak mencurigakan.
Cara utama penyebaran alat tambah berniat jahat adalah melalui promosi tapak yang kelihatan profesional (seperti dalam gambar di bawah) dan peletakan di Kedai Web Chrome, memintas mekanisme pengesahan untuk memuat turun kod berikutnya dari tapak luar. Untuk memintas sekatan memasang alat tambah hanya dari Kedai Web Chrome, penyerang mengedarkan pemasangan berasingan Chromium dengan alat tambah yang telah diprapasang, dan juga memasangnya melalui aplikasi pengiklanan (Perisian Iklan) yang sedia ada dalam sistem. Penyelidik menganalisis 100 rangkaian syarikat kewangan, media, perubatan, farmaseutikal, minyak dan gas dan perdagangan, serta institusi pendidikan dan kerajaan, dan menemui kesan kehadiran alat tambah berniat jahat dalam hampir kesemuanya.
Semasa kempen untuk mengedarkan alat tambah berniat jahat, lebih daripada , bersilang dengan tapak popular (contohnya, gmaille.com, youtubeunblocked.net, dll.) atau didaftarkan selepas tamat tempoh pembaharuan untuk domain sedia ada sebelum ini. Domain ini juga digunakan dalam infrastruktur pengurusan aktiviti hasad dan untuk memuat turun sisipan JavaScript hasad yang telah dilaksanakan dalam konteks halaman yang dibuka pengguna.
Penyelidik mengesyaki konspirasi dengan pendaftar domain Galcomm, di mana 15 ribu domain untuk aktiviti berniat jahat telah didaftarkan (60% daripada semua domain yang dikeluarkan oleh pendaftar ini), tetapi wakil Galcomm Andaian ini menunjukkan bahawa 25% daripada domain tersenarai telah dipadamkan atau tidak dikeluarkan oleh Galcomm, dan selebihnya, hampir kesemuanya adalah domain letak kenderaan yang tidak aktif. Wakil Galcomm juga melaporkan bahawa tiada sesiapa yang menghubungi mereka sebelum pendedahan awam laporan itu, dan mereka menerima senarai domain yang digunakan untuk tujuan berniat jahat daripada pihak ketiga dan kini sedang menjalankan analisis mereka ke atasnya.
Para penyelidik yang mengenal pasti masalah membandingkan alat tambah berniat jahat dengan rootkit baharu - aktiviti utama ramai pengguna dijalankan melalui penyemak imbas, di mana mereka mengakses storan dokumen kongsi, sistem maklumat korporat dan perkhidmatan kewangan. Dalam keadaan sedemikian, tidak masuk akal untuk penyerang mencari cara untuk menjejaskan sepenuhnya sistem pengendalian untuk memasang kit akar sepenuhnya - adalah lebih mudah untuk memasang alat tambah penyemak imbas berniat jahat dan mengawal aliran data sulit melalui ia. Selain memantau data transit, alat tambah boleh meminta kebenaran untuk mengakses data setempat, kamera web atau lokasi. Seperti yang ditunjukkan oleh amalan, kebanyakan pengguna tidak memberi perhatian kepada kebenaran yang diminta, dan 80% daripada 1000 alat tambah popular meminta akses kepada data semua halaman yang diproses.
Sumber: opennet.ru