Firma ochroniarska Przebudź się
Zakłada się, że wszystkie rozważane dodatki zostały przygotowane przez jeden zespół atakujących, gdyż w sumie
Twórcy dodatków najpierw opublikowali czystą wersję bez złośliwego kodu w sklepie Chrome, przeszli weryfikację, a następnie dodali zmiany w jednej z aktualizacji, które ładowały złośliwy kod po instalacji. Aby ukryć ślady złośliwej aktywności, zastosowano również technikę selektywnej odpowiedzi – pierwsze żądanie zwróciło złośliwe pobranie, a kolejne żądania zwróciły podejrzane dane.
Główne sposoby rozprzestrzeniania się złośliwych dodatków to promowanie profesjonalnie wyglądających witryn (jak na obrazku poniżej) i umieszczanie w sklepie Chrome Web Store z pominięciem mechanizmów weryfikacji w celu późniejszego pobrania kodu z witryn zewnętrznych. Aby ominąć ograniczenia dotyczące instalowania dodatków wyłącznie z Chrome Web Store, napastnicy rozpowszechniali osobne zestawy Chromium z preinstalowanymi dodatkami, a także instalowali je za pośrednictwem aplikacji reklamowych (Adware) już obecnych w systemie. Badacze przeanalizowali 100 sieci firm finansowych, medialnych, medycznych, farmaceutycznych, naftowo-gazowych i handlowych, a także instytucji edukacyjnych i rządowych i niemal we wszystkich znaleźli ślady obecności szkodliwych dodatków.
Podczas kampanii mającej na celu dystrybucję szkodliwych dodatków ponad
Badacze podejrzewali spisek z rejestratorem domen Galcomm, w którym zarejestrowano 15 tys. domen do szkodliwej działalności (60% wszystkich domen wydanych przez tego rejestratora), ale przedstawiciele Galcomm
Badacze, którzy zidentyfikowali problem, porównują szkodliwe dodatki z nowym rootkitem - główna aktywność wielu użytkowników odbywa się za pośrednictwem przeglądarki, za pośrednictwem której uzyskują dostęp do współdzielonego magazynu dokumentów, korporacyjnych systemów informatycznych i usług finansowych. W takich warunkach nie ma sensu, aby atakujący szukali sposobów na całkowite złamanie zabezpieczeń systemu operacyjnego w celu zainstalowania pełnoprawnego rootkita - znacznie łatwiej jest zainstalować złośliwy dodatek do przeglądarki i kontrolować przepływ poufnych danych przez To. Oprócz monitorowania danych dotyczących transportu dodatek może żądać uprawnień dostępu do danych lokalnych, kamery internetowej lub lokalizacji. Jak pokazuje praktyka, większość użytkowników nie zwraca uwagi na wymagane uprawnienia, a 80% z 1000 popularnych dodatków żąda dostępu do danych wszystkich przetwarzanych stron.
Źródło: opennet.ru