Wakker Beveiligingsbedrijf
Er wordt aangenomen dat alle overwogen toevoegingen in totaal door één team van aanvallers zijn voorbereid
Add-on-ontwikkelaars plaatsten eerst een schone versie zonder kwaadaardige code in de Chrome Store, ondergingen peer review en voegden vervolgens wijzigingen toe in een van de updates die na installatie kwaadaardige code laadden. Om sporen van kwaadaardige activiteiten te verbergen, werd ook een selectieve responstechniek gebruikt: het eerste verzoek retourneerde een kwaadaardige download en daaropvolgende verzoeken leverden nietsverdachte gegevens op.
De belangrijkste manieren waarop kwaadaardige add-ons zich verspreiden zijn door het promoten van professioneel ogende sites (zoals in de onderstaande afbeelding) en plaatsing in de Chrome Web Store, waarbij verificatiemechanismen worden omzeild voor het vervolgens downloaden van code van externe sites. Om de beperkingen op het installeren van add-ons alleen vanuit de Chrome Web Store te omzeilen, verspreidden de aanvallers afzonderlijke versies van Chromium met vooraf geïnstalleerde add-ons, en installeerden ze deze ook via advertentietoepassingen (Adware) die al in het systeem aanwezig waren. Onderzoekers analyseerden honderd netwerken van financiële, media-, medische, farmaceutische, olie- en gas- en handelsbedrijven, maar ook onderwijs- en overheidsinstellingen, en vonden in bijna allemaal sporen van de aanwezigheid van kwaadaardige add-ons.
Tijdens de campagne om kwaadaardige add-ons te verspreiden, zijn er meer dan
Onderzoekers vermoedden een samenzwering met de domeinregistrar Galcomm, waarbij 15 domeinen voor kwaadwillige activiteiten werden geregistreerd (60% van alle domeinen uitgegeven door deze registrar), maar vertegenwoordigers van Galcomm
De onderzoekers die het probleem hebben geïdentificeerd vergelijken de kwaadaardige add-ons met een nieuwe rootkit - de hoofdactiviteit van veel gebruikers wordt uitgevoerd via een browser, waarmee ze toegang krijgen tot gedeelde documentopslag, bedrijfsinformatiesystemen en financiële diensten. In dergelijke omstandigheden heeft het geen zin dat aanvallers zoeken naar manieren om het besturingssysteem volledig te compromitteren om een volwaardige rootkit te installeren. Het is veel gemakkelijker om een kwaadaardige browser-add-on te installeren en de stroom van vertrouwelijke gegevens via Het. Naast het monitoren van transitgegevens kan de add-on toestemming vragen voor toegang tot lokale gegevens, een webcam of locatie. Zoals de praktijk laat zien, letten de meeste gebruikers niet op de gevraagde rechten, en 80% van de 1000 populaire add-ons vraagt om toegang tot de gegevens van alle verwerkte pagina's.
Bron: opennet.ru