Empresa de segurança acordada
Supõe-se que todas as adições consideradas foram preparadas por uma equipe de atacantes, pois em todos
Os desenvolvedores de complementos primeiro postaram uma versão limpa sem código malicioso na Chrome Store, passaram por revisão por pares e, em seguida, adicionaram alterações em uma das atualizações que carregavam código malicioso após a instalação. Para ocultar vestígios de atividades maliciosas, também foi utilizada uma técnica de resposta seletiva: a primeira solicitação retornou um download malicioso e as solicitações subsequentes retornaram dados não suspeitos.
As principais formas de propagação de complementos maliciosos são por meio da promoção de sites com aparência profissional (como na imagem abaixo) e da colocação na Chrome Web Store, contornando os mecanismos de verificação para posterior download de código de sites externos. Para contornar as restrições à instalação de complementos apenas da Chrome Web Store, os invasores distribuíram montagens separadas do Chromium com complementos pré-instalados e também os instalaram por meio de aplicativos de publicidade (Adware) já presentes no sistema. Os pesquisadores analisaram 100 redes de empresas financeiras, de mídia, médicas, farmacêuticas, de petróleo e gás e comerciais, bem como instituições educacionais e governamentais, e encontraram vestígios da presença de complementos maliciosos em quase todas elas.
Durante a campanha de distribuição de complementos maliciosos, mais de
Os pesquisadores suspeitaram de uma conspiração com o registrador de domínios Galcomm, no qual foram registrados 15 mil domínios para atividades maliciosas (60% de todos os domínios emitidos por este registrador), mas representantes da Galcomm
Os pesquisadores que identificaram o problema comparam os complementos maliciosos a um novo rootkit – a principal atividade de muitos usuários é realizada por meio de um navegador, por meio do qual acessam o armazenamento compartilhado de documentos, sistemas de informações corporativas e serviços financeiros. Nessas condições, não faz sentido que os invasores procurem maneiras de comprometer completamente o sistema operacional para instalar um rootkit completo - é muito mais fácil instalar um complemento de navegador malicioso e controlar o fluxo de dados confidenciais por meio de isto. Além de monitorar dados de trânsito, o complemento pode solicitar permissões para acessar dados locais, uma webcam ou localização. Como mostra a prática, a maioria dos usuários não presta atenção às permissões solicitadas e 80% dos 1000 complementos populares solicitam acesso aos dados de todas as páginas processadas.
Fonte: opennet.ru