Firma ochroniarska Przebudź się o identyfikowaniu do przeglądarki Google Chrome, wysyłając poufne dane użytkownika na serwery zewnętrzne. Dodatki miały także dostęp do wykonywania zrzutów ekranu, odczytywania zawartości schowka, analizowania obecności tokenów dostępu w plikach Cookies oraz przechwytywania danych wprowadzanych w formularzach internetowych. W sumie zidentyfikowane szkodliwe dodatki pobrano w sumie 32.9 miliona w sklepie Chrome Web Store, a najpopularniejszy (Search Manager) został pobrany 10 milionów razy i zawiera 22 tysiące recenzji.
Zakłada się, że wszystkie rozważane dodatki zostały przygotowane przez jeden zespół atakujących, gdyż w sumie typowy schemat dystrybucji i organizacji przechwytywania poufnych danych, a także wspólne elementy projektu i powtarzalny kod. ze złośliwym kodem zostały umieszczone w katalogu Chrome Store i zostały usunięte już po wysłaniu powiadomienia o szkodliwej aktywności. Wiele złośliwych dodatków kopiowało funkcjonalność różnych popularnych dodatków, w tym tych, których celem było zapewnienie dodatkowego bezpieczeństwa przeglądarki, zwiększenie prywatności wyszukiwania, konwersja plików PDF i konwersja formatów.
Twórcy dodatków najpierw opublikowali czystą wersję bez złośliwego kodu w sklepie Chrome, przeszli weryfikację, a następnie dodali zmiany w jednej z aktualizacji, które ładowały złośliwy kod po instalacji. Aby ukryć ślady złośliwej aktywności, zastosowano również technikę selektywnej odpowiedzi – pierwsze żądanie zwróciło złośliwe pobranie, a kolejne żądania zwróciły podejrzane dane.
Główne sposoby rozprzestrzeniania się złośliwych dodatków to promowanie profesjonalnie wyglądających witryn (jak na obrazku poniżej) i umieszczanie w sklepie Chrome Web Store z pominięciem mechanizmów weryfikacji w celu późniejszego pobrania kodu z witryn zewnętrznych. Aby ominąć ograniczenia dotyczące instalowania dodatków wyłącznie z Chrome Web Store, napastnicy rozpowszechniali osobne zestawy Chromium z preinstalowanymi dodatkami, a także instalowali je za pośrednictwem aplikacji reklamowych (Adware) już obecnych w systemie. Badacze przeanalizowali 100 sieci firm finansowych, medialnych, medycznych, farmaceutycznych, naftowo-gazowych i handlowych, a także instytucji edukacyjnych i rządowych i niemal we wszystkich znaleźli ślady obecności szkodliwych dodatków.
Podczas kampanii mającej na celu dystrybucję szkodliwych dodatków ponad , krzyżujące się z popularnymi witrynami (na przykład gmaille.com, youtubeunblocked.net itp.) lub zarejestrowane po upływie okresu odnowienia dla wcześniej istniejących domen. Domeny te były również wykorzystywane w infrastrukturze zarządzania złośliwą aktywnością oraz do pobierania złośliwych wstawek JavaScript, które były wykonywane w kontekście stron otwieranych przez użytkownika.
Badacze podejrzewali spisek z rejestratorem domen Galcomm, w którym zarejestrowano 15 tys. domen do szkodliwej działalności (60% wszystkich domen wydanych przez tego rejestratora), ale przedstawiciele Galcomm Założenia te wskazywały, że 25% z wymienionych domen zostało już usuniętych lub nie zostało wydanych przez Galcomm, a reszta to prawie wszystkie domeny zaparkowane nieaktywne. Przedstawiciele Galcomm zgłosili także, że przed publicznym ujawnieniem raportu nikt się z nimi nie kontaktował, a oni otrzymali listę domen wykorzystywanych w szkodliwych celach od strony trzeciej i obecnie przeprowadzają na ich podstawie analizę.
Badacze, którzy zidentyfikowali problem, porównują szkodliwe dodatki z nowym rootkitem - główna aktywność wielu użytkowników odbywa się za pośrednictwem przeglądarki, za pośrednictwem której uzyskują dostęp do współdzielonego magazynu dokumentów, korporacyjnych systemów informatycznych i usług finansowych. W takich warunkach nie ma sensu, aby atakujący szukali sposobów na całkowite złamanie zabezpieczeń systemu operacyjnego w celu zainstalowania pełnoprawnego rootkita - znacznie łatwiej jest zainstalować złośliwy dodatek do przeglądarki i kontrolować przepływ poufnych danych przez To. Oprócz monitorowania danych dotyczących transportu dodatek może żądać uprawnień dostępu do danych lokalnych, kamery internetowej lub lokalizacji. Jak pokazuje praktyka, większość użytkowników nie zwraca uwagi na wymagane uprawnienia, a 80% z 1000 popularnych dodatków żąda dostępu do danych wszystkich przetwarzanych stron.
Źródło: opennet.ru