Wakker Beveiligingsbedrijf over identificeren naar Google Chrome, waarbij vertrouwelijke gebruikersgegevens naar externe servers worden verzonden. De add-ons hadden ook toegang tot het maken van schermafbeeldingen, het lezen van de inhoud van het klembord, het analyseren van de aanwezigheid van toegangstokens in cookies en het onderscheppen van invoer in webformulieren. In totaal zijn de geïdentificeerde kwaadaardige add-ons in totaal 32.9 miljoen keer gedownload in de Chrome Web Store, en de meest populaire (Search Manager) is 10 miljoen keer gedownload en bevat 22 recensies.
Er wordt aangenomen dat alle overwogen toevoegingen in totaal door één team van aanvallers zijn voorbereid een typisch schema voor het distribueren en organiseren van het vastleggen van vertrouwelijke gegevens, evenals gemeenschappelijke ontwerpelementen en herhaalde code. met kwaadaardige code zijn in de Chrome Store-catalogus geplaatst en zijn al verwijderd na het verzenden van een melding over kwaadaardige activiteit. Veel kwaadaardige add-ons kopieerden de functionaliteit van verschillende populaire add-ons, waaronder add-ons die gericht waren op het bieden van extra browserbeveiliging, het vergroten van de zoekprivacy, PDF-conversie en formaatconversie.
Add-on-ontwikkelaars plaatsten eerst een schone versie zonder kwaadaardige code in de Chrome Store, ondergingen peer review en voegden vervolgens wijzigingen toe in een van de updates die na installatie kwaadaardige code laadden. Om sporen van kwaadaardige activiteiten te verbergen, werd ook een selectieve responstechniek gebruikt: het eerste verzoek retourneerde een kwaadaardige download en daaropvolgende verzoeken leverden nietsverdachte gegevens op.
De belangrijkste manieren waarop kwaadaardige add-ons zich verspreiden zijn door het promoten van professioneel ogende sites (zoals in de onderstaande afbeelding) en plaatsing in de Chrome Web Store, waarbij verificatiemechanismen worden omzeild voor het vervolgens downloaden van code van externe sites. Om de beperkingen op het installeren van add-ons alleen vanuit de Chrome Web Store te omzeilen, verspreidden de aanvallers afzonderlijke versies van Chromium met vooraf geïnstalleerde add-ons, en installeerden ze deze ook via advertentietoepassingen (Adware) die al in het systeem aanwezig waren. Onderzoekers analyseerden honderd netwerken van financiële, media-, medische, farmaceutische, olie- en gas- en handelsbedrijven, maar ook onderwijs- en overheidsinstellingen, en vonden in bijna allemaal sporen van de aanwezigheid van kwaadaardige add-ons.
Tijdens de campagne om kwaadaardige add-ons te verspreiden, zijn er meer dan , die populaire sites kruisen (bijvoorbeeld gmaille.com, youtubeunblocked.net, enz.) of geregistreerd zijn na het verstrijken van de verlengingsperiode voor eerder bestaande domeinen. Deze domeinen werden ook gebruikt in de kwaadaardige activiteitenbeheerinfrastructuur en om kwaadaardige JavaScript-inserts te downloaden die werden uitgevoerd in de context van de pagina's die de gebruiker opende.
Onderzoekers vermoedden een samenzwering met de domeinregistrar Galcomm, waarbij 15 domeinen voor kwaadwillige activiteiten werden geregistreerd (60% van alle domeinen uitgegeven door deze registrar), maar vertegenwoordigers van Galcomm Deze aannames gaven aan dat 25% van de genoemde domeinen al is verwijderd of niet is uitgegeven door Galcomm, en dat de rest bijna allemaal inactieve geparkeerde domeinen zijn. Vertegenwoordigers van Galcomm meldden ook dat niemand contact met hen had opgenomen vóór de publieke bekendmaking van het rapport, en dat zij van een derde partij een lijst met domeinen hadden ontvangen die voor kwaadaardige doeleinden werden gebruikt en dat zij daar nu hun analyses op uitvoeren.
De onderzoekers die het probleem hebben geïdentificeerd vergelijken de kwaadaardige add-ons met een nieuwe rootkit - de hoofdactiviteit van veel gebruikers wordt uitgevoerd via een browser, waarmee ze toegang krijgen tot gedeelde documentopslag, bedrijfsinformatiesystemen en financiële diensten. In dergelijke omstandigheden heeft het geen zin dat aanvallers zoeken naar manieren om het besturingssysteem volledig te compromitteren om een volwaardige rootkit te installeren. Het is veel gemakkelijker om een kwaadaardige browser-add-on te installeren en de stroom van vertrouwelijke gegevens via Het. Naast het monitoren van transitgegevens kan de add-on toestemming vragen voor toegang tot lokale gegevens, een webcam of locatie. Zoals de praktijk laat zien, letten de meeste gebruikers niet op de gevraagde rechten, en 80% van de 1000 populaire add-ons vraagt om toegang tot de gegevens van alle verwerkte pagina's.
Bron: opennet.ru