Awake Security Company
Det antas at alle de vurderte tilleggene ble utarbeidet av ett team av angripere, siden i alt
Tilleggsutviklere la først ut en ren versjon uten skadelig kode i Chrome Store, gjennomgikk fagfellevurdering og la deretter til endringer i en av oppdateringene som lastet inn skadelig kode etter installasjonen. For å skjule spor av ondsinnet aktivitet ble det også brukt en selektiv responsteknikk - den første forespørselen returnerte en ondsinnet nedlasting, og påfølgende forespørsler returnerte mistenkelige data.
De viktigste måtene ondsinnede tillegg spres på er gjennom markedsføring av nettsteder med et profesjonelt utseende (som på bildet nedenfor) og plassering i Chrome Nettmarked, og omgå verifiseringsmekanismer for påfølgende nedlasting av kode fra eksterne nettsteder. For å omgå restriksjonene for å installere tillegg kun fra Chrome Nettmarked, distribuerte angriperne separate samlinger av Chromium med forhåndsinstallerte tillegg, og installerte dem også gjennom reklameapplikasjoner (adware) som allerede er til stede i systemet. Forskere analyserte 100 nettverk av finans-, media-, medisinske, farmasøytiske, olje- og gass- og handelsselskaper, samt utdannings- og statlige institusjoner, og fant spor av tilstedeværelsen av de ondsinnede tilleggene i nesten alle av dem.
Under kampanjen for å distribuere ondsinnede tillegg, mer enn
Forskere mistenkte en konspirasjon med Galcomm-domeneregistratoren, der 15 tusen domener for ondsinnede aktiviteter ble registrert (60 % av alle domener utstedt av denne registraren), men Galcomm-representanter
Forskerne som identifiserte problemet, sammenligner de ondsinnede tilleggene med et nytt rootkit - hovedaktiviteten til mange brukere utføres gjennom en nettleser, der de får tilgang til delt dokumentlagring, bedriftsinformasjonssystemer og finansielle tjenester. Under slike forhold gir det ingen mening for angripere å lete etter måter å fullstendig kompromittere operativsystemet for å installere et fullverdig rootkit - det er mye lettere å installere et ondsinnet nettlesertillegg og kontrollere flyten av konfidensielle data gjennom den. I tillegg til å overvåke transittdata, kan tillegget be om tillatelser til å få tilgang til lokale data, et webkamera eller plassering. Som praksis viser, tar de fleste brukere ikke hensyn til de forespurte tillatelsene, og 80 % av de 1000 populære tilleggene ber om tilgang til dataene til alle behandlede sider.
Kilde: opennet.ru