Syarikat Keselamatan Awake tentang pengenalan Sambungan Google Chrome yang menghantar data pengguna sensitif ke pelayan luaran. Sambungan ini juga mempunyai akses kepada tangkapan skrin, membaca kandungan papan keratan, menganalisis kuki untuk token akses dan memintas input borang web. Secara keseluruhan, sambungan berniat jahat yang dikenal pasti mempunyai 32.9 juta muat turun di Kedai Web Chrome, dengan yang paling popular (Pengurus Carian) telah dimuat turun sebanyak 10 juta kali dan mengandungi 22 ulasan.
Diandaikan bahawa semua add-on yang dipertimbangkan telah disediakan oleh satu pasukan penyerang, kerana dalam kesemuanya Corak tipikal untuk mengedar dan mengatur penangkapan data sulit, serta elemen reka bentuk biasa dan kod berulang. Alat tambah yang mengandungi kod hasad diletakkan di Gedung Chrome dan sejak itu telah dialih keluar selepas pemberitahuan aktiviti hasad diserahkan. Banyak alat tambah berniat jahat mereplikasi fungsi pelbagai alat tambah popular, termasuk yang direka untuk menyediakan perlindungan penyemak imbas tambahan, meningkatkan privasi carian dan melakukan penukaran PDF dan format.
Pembangun alat tambah akan mula-mula menerbitkan versi yang bersih dan bebas perisian hasad ke Gedung Chrome, menyerahkannya untuk semakan, dan kemudian, dalam kemas kini, memperkenalkan perubahan yang akan memuat turun kod hasad selepas pemasangan. Untuk menyembunyikan kesan aktiviti hasad, mereka juga menggunakan teknik tindak balas terpilih: permintaan pertama akan mencetuskan muat turun hasad, manakala permintaan seterusnya akan mencetuskan data yang tidak mencurigakan.
Kaedah pengedaran utama untuk alat tambah berniat jahat termasuk mempromosikan tapak web yang kelihatan profesional (seperti yang ditunjukkan di bawah) dan mengehosnya di Kedai Web Chrome, memintas mekanisme pengesahan untuk memuat turun kod daripada tapak luar. Untuk memintas sekatan pada memasang alat tambah hanya dari Kedai Web Chrome, penyerang mengedarkan binaan Chromium berasingan dengan alat tambah yang telah dipasang dan juga memasangnya melalui perisian iklan yang sudah ada pada sistem. Penyelidik menganalisis 100 rangkaian syarikat kewangan, media, perubatan, farmaseutikal, minyak dan gas, dan runcit, serta institusi pendidikan dan kerajaan, dan menemui kesan tambahan berniat jahat dalam hampir kesemuanya.
Lebih daripada 1000 alat tambah berniat jahat telah didaftarkan semasa kempen , yang bertindih dengan tapak web popular (cth., gmaille.com, youtubeunblocked.net, dll.) atau telah didaftarkan selepas pembaharuan domain sedia ada tamat tempoh. Domain ini juga digunakan dalam infrastruktur kawalan aktiviti hasad dan untuk memuatkan suntikan JavaScript hasad yang telah dilaksanakan dalam konteks halaman yang dibuka oleh pengguna.
Penyelidik mengesyaki pakatan sulit dengan pendaftar domain Galcomm, yang mendaftarkan 15 ribu domain untuk aktiviti berniat jahat (60% daripada semua domain yang dikeluarkan oleh pendaftar ini), tetapi wakil Galcomm Andaian ini menunjukkan bahawa 25% daripada domain tersenarai telah dialih keluar atau tidak dikeluarkan oleh Galcomm, manakala hampir semua domain yang tinggal tidak aktif dan diletakkan. Wakil Galcomm juga menyatakan bahawa mereka tidak dihubungi sebelum laporan umum dikeluarkan, dan bahawa mereka telah menerima senarai domain yang digunakan untuk tujuan jahat daripada pihak ketiga dan kini sedang menjalankan analisis mereka sendiri.
Para penyelidik yang mengenal pasti masalah membandingkan alat tambah berniat jahat kepada rootkit baharu. Ramai pengguna menggunakan penyemak imbas mereka untuk mengakses storan dokumen kongsi, sistem maklumat korporat dan perkhidmatan kewangan. Dalam keadaan sedemikian, penyerang tidak mempunyai sebab untuk mencari cara untuk menjejaskan sepenuhnya sistem pengendalian untuk memasang rootkit sepenuhnya. Lebih mudah untuk memasang alat tambah penyemak imbas berniat jahat dan menggunakannya untuk mengawal aliran data sulit. Selain mengawal data transit, alat tambah mungkin meminta kebenaran untuk mengakses data setempat, kamera web dan lokasi. Pengalaman menunjukkan bahawa kebanyakan pengguna mengabaikan kebenaran yang diminta, dan 80% daripada 1000 alat tambah popular meminta akses kepada data pada semua halaman yang diproses.
Sumber: opennet.ru
