Empresa de segurança acordada sobre identificar para o Google Chrome, enviando dados confidenciais do usuário para servidores externos. Os add-ons também tinham acesso à captura de tela, leitura do conteúdo da área de transferência, análise da presença de tokens de acesso em Cookies e interceptação de entradas em formulários web. No total, os complementos maliciosos identificados totalizaram 32.9 milhões de downloads na Chrome Web Store, sendo que o mais popular (Search Manager) foi baixado 10 milhões de vezes e inclui 22 mil avaliações.
Supõe-se que todas as adições consideradas foram preparadas por uma equipe de atacantes, pois em todos um esquema típico para distribuição e organização da captura de dados confidenciais, bem como elementos de design comuns e código repetido. com código malicioso foram colocados no catálogo da Chrome Store e já foram excluídos após o envio de uma notificação sobre atividade maliciosa. Muitos complementos maliciosos copiaram a funcionalidade de vários complementos populares, incluindo aqueles destinados a fornecer segurança adicional ao navegador, aumentar a privacidade da pesquisa, conversão de PDF e conversão de formato.
Os desenvolvedores de complementos primeiro postaram uma versão limpa sem código malicioso na Chrome Store, passaram por revisão por pares e, em seguida, adicionaram alterações em uma das atualizações que carregavam código malicioso após a instalação. Para ocultar vestígios de atividades maliciosas, também foi utilizada uma técnica de resposta seletiva: a primeira solicitação retornou um download malicioso e as solicitações subsequentes retornaram dados não suspeitos.
As principais formas de propagação de complementos maliciosos são por meio da promoção de sites com aparência profissional (como na imagem abaixo) e da colocação na Chrome Web Store, contornando os mecanismos de verificação para posterior download de código de sites externos. Para contornar as restrições à instalação de complementos apenas da Chrome Web Store, os invasores distribuíram montagens separadas do Chromium com complementos pré-instalados e também os instalaram por meio de aplicativos de publicidade (Adware) já presentes no sistema. Os pesquisadores analisaram 100 redes de empresas financeiras, de mídia, médicas, farmacêuticas, de petróleo e gás e comerciais, bem como instituições educacionais e governamentais, e encontraram vestígios da presença de complementos maliciosos em quase todas elas.
Durante a campanha de distribuição de complementos maliciosos, mais de , cruzando com sites populares (por exemplo, gmaille.com, youtubeunblocked.net, etc.) ou registrados após o término do período de renovação para domínios existentes anteriormente. Esses domínios também foram usados na infraestrutura de gerenciamento de atividades maliciosas e para baixar inserções maliciosas de JavaScript que foram executadas no contexto das páginas abertas pelo usuário.
Os pesquisadores suspeitaram de uma conspiração com o registrador de domínios Galcomm, no qual foram registrados 15 mil domínios para atividades maliciosas (60% de todos os domínios emitidos por este registrador), mas representantes da Galcomm Essas suposições indicaram que 25% dos domínios listados já foram excluídos ou não foram emitidos pela Galcomm, e o restante, quase todos, são domínios estacionados inativos. Representantes da Galcomm também relataram que ninguém os contatou antes da divulgação pública do relatório, e eles receberam de terceiros uma lista de domínios usados para fins maliciosos e agora estão conduzindo suas análises sobre eles.
Os pesquisadores que identificaram o problema comparam os complementos maliciosos a um novo rootkit – a principal atividade de muitos usuários é realizada por meio de um navegador, por meio do qual acessam o armazenamento compartilhado de documentos, sistemas de informações corporativas e serviços financeiros. Nessas condições, não faz sentido que os invasores procurem maneiras de comprometer completamente o sistema operacional para instalar um rootkit completo - é muito mais fácil instalar um complemento de navegador malicioso e controlar o fluxo de dados confidenciais por meio de isto. Além de monitorar dados de trânsito, o complemento pode solicitar permissões para acessar dados locais, uma webcam ou localização. Como mostra a prática, a maioria dos usuários não presta atenção às permissões solicitadas e 80% dos 1000 complementos populares solicitam acesso aos dados de todas as páginas processadas.
Fonte: opennet.ru