Awake Security Company om å identifisere til Google Chrome, og sender konfidensielle brukerdata til eksterne servere. Tilleggene hadde også tilgang til å ta skjermbilder, lese innholdet på utklippstavlen, analysere tilstedeværelsen av tilgangstokener i informasjonskapsler og avskjære inndata i nettskjemaer. Totalt utgjorde de identifiserte ondsinnede tilleggene 32.9 millioner nedlastinger i Chrome Nettmarked, og den mest populære (Search Manager) ble lastet ned 10 millioner ganger og inkluderer 22 tusen anmeldelser.
Det antas at alle de vurderte tilleggene ble utarbeidet av ett team av angripere, siden i alt et typisk opplegg for distribusjon og organisering av fangst av konfidensielle data, samt vanlige designelementer og gjentatt kode. med skadelig kode ble plassert i Chrome Store-katalogen og ble allerede slettet etter å ha sendt et varsel om ondsinnet aktivitet. Mange ondsinnede tillegg kopierte funksjonaliteten til forskjellige populære tillegg, inkludert de som var rettet mot å gi ekstra nettlesersikkerhet, øke søkepersonvernet, PDF-konvertering og formatkonvertering.
Tilleggsutviklere la først ut en ren versjon uten skadelig kode i Chrome Store, gjennomgikk fagfellevurdering og la deretter til endringer i en av oppdateringene som lastet inn skadelig kode etter installasjonen. For å skjule spor av ondsinnet aktivitet ble det også brukt en selektiv responsteknikk - den første forespørselen returnerte en ondsinnet nedlasting, og påfølgende forespørsler returnerte mistenkelige data.
De viktigste måtene ondsinnede tillegg spres på er gjennom markedsføring av nettsteder med et profesjonelt utseende (som på bildet nedenfor) og plassering i Chrome Nettmarked, og omgå verifiseringsmekanismer for påfølgende nedlasting av kode fra eksterne nettsteder. For å omgå restriksjonene for å installere tillegg kun fra Chrome Nettmarked, distribuerte angriperne separate samlinger av Chromium med forhåndsinstallerte tillegg, og installerte dem også gjennom reklameapplikasjoner (adware) som allerede er til stede i systemet. Forskere analyserte 100 nettverk av finans-, media-, medisinske, farmasøytiske, olje- og gass- og handelsselskaper, samt utdannings- og statlige institusjoner, og fant spor av tilstedeværelsen av de ondsinnede tilleggene i nesten alle av dem.
Under kampanjen for å distribuere ondsinnede tillegg, mer enn , krysser populære nettsteder (for eksempel gmaille.com, youtubeunblocked.net, etc.) eller registrert etter utløpet av fornyelsesperioden for tidligere eksisterende domener. Disse domenene ble også brukt i infrastrukturen for administrasjon av skadelig aktivitet og for å laste ned ondsinnede JavaScript-innlegg som ble utført i sammenheng med sidene brukeren åpnet.
Forskere mistenkte en konspirasjon med Galcomm-domeneregistratoren, der 15 tusen domener for ondsinnede aktiviteter ble registrert (60 % av alle domener utstedt av denne registraren), men Galcomm-representanter Disse forutsetningene indikerte at 25 % av de oppførte domenene allerede er slettet eller ikke ble utstedt av Galcomm, og resten, nesten alle er inaktive parkerte domener. Representanter for Galcomm rapporterte også at ingen kontaktet dem før offentliggjøringen av rapporten, og de mottok en liste over domener brukt til ondsinnede formål fra en tredjepart og utfører nå sin analyse på dem.
Forskerne som identifiserte problemet, sammenligner de ondsinnede tilleggene med et nytt rootkit - hovedaktiviteten til mange brukere utføres gjennom en nettleser, der de får tilgang til delt dokumentlagring, bedriftsinformasjonssystemer og finansielle tjenester. Under slike forhold gir det ingen mening for angripere å lete etter måter å fullstendig kompromittere operativsystemet for å installere et fullverdig rootkit - det er mye lettere å installere et ondsinnet nettlesertillegg og kontrollere flyten av konfidensielle data gjennom den. I tillegg til å overvåke transittdata, kan tillegget be om tillatelser til å få tilgang til lokale data, et webkamera eller plassering. Som praksis viser, tar de fleste brukere ikke hensyn til de forespurte tillatelsene, og 80 % av de 1000 populære tilleggene ber om tilgang til dataene til alle behandlede sider.
Kilde: opennet.ru