Empresa de Segurança Acordada sobre identificação Extensões do Google Chrome que enviavam dados confidenciais do usuário para servidores externos. Essas extensões também tinham acesso a capturas de tela, liam o conteúdo da área de transferência, analisavam cookies em busca de tokens de acesso e interceptavam dados inseridos em formulários da web. No total, as extensões maliciosas identificadas tiveram 32.9 milhões de downloads na Chrome Web Store, sendo a mais popular (Search Manager) baixada 10 milhões de vezes e contendo 22 avaliações.
Presume-se que todos os complementos considerados foram preparados por uma única equipe de atacantes, visto que em todos eles Um padrão típico para distribuir e organizar a captura de dados confidenciais, bem como elementos de design comuns e código repetitivo. Extensões contendo código malicioso foram instaladas na Chrome Web Store e, desde então, foram removidas após o envio de uma notificação de atividade maliciosa. Muitas dessas extensões maliciosas replicavam a funcionalidade de diversas extensões populares, incluindo aquelas projetadas para fornecer proteção adicional ao navegador, aprimorar a privacidade de pesquisa e realizar conversões de PDF e outros formatos.
Os desenvolvedores do complemento primeiro publicavam uma versão limpa e livre de malware na Chrome Store, a submetiam para revisão e, em seguida, em uma atualização, introduziam alterações que baixavam o código malicioso após a instalação. Para ocultar vestígios de atividade maliciosa, eles também usavam uma técnica de resposta seletiva: a primeira solicitação acionava um download malicioso, enquanto as solicitações subsequentes acionavam dados inofensivos.
Os principais métodos de distribuição de complementos maliciosos incluem a promoção de sites com aparência profissional (como mostrado abaixo) e sua hospedagem na Chrome Web Store, burlando mecanismos de verificação para baixar código de sites externos. Para contornar as restrições que permitem a instalação de complementos apenas pela Chrome Web Store, os atacantes distribuíram versões separadas do Chromium com complementos pré-instalados e também os instalaram por meio de adware já presente no sistema. Pesquisadores analisaram 100 redes de empresas dos setores financeiro, de mídia, médico, farmacêutico, de petróleo e gás e varejo, bem como instituições educacionais e governamentais, e encontraram vestígios dos complementos maliciosos em quase todas elas.
Mais de 1000 complementos maliciosos foram registrados durante a campanha. , que se sobrepunham a sites populares (por exemplo, gmaille.com, youtubeunblocked.net, etc.) ou foram registrados após o vencimento da renovação de domínios existentes anteriormente. Esses domínios também eram usados na infraestrutura de controle de atividades maliciosas e para carregar injeções maliciosas de JavaScript que eram executadas no contexto das páginas abertas pelo usuário.
Os pesquisadores suspeitaram de conluio com a registradora de domínios Galcomm, que registrou 15 mil domínios para atividades maliciosas (60% de todos os domínios emitidos por essa registradora), mas representantes da Galcomm negaram o ocorrido. Essas suposições indicavam que 25% dos domínios listados já haviam sido removidos ou não eram emitidos pela Galcomm, enquanto quase todos os domínios restantes estavam inativos e estacionados. Representantes da Galcomm também afirmaram que não haviam sido contatados antes da divulgação pública do relatório e que receberam a lista de domínios usados para fins maliciosos de terceiros, estando agora conduzindo sua própria análise.
Os pesquisadores que identificaram o problema comparam os complementos maliciosos a um novo rootkit. Muitos usuários utilizam seus navegadores principalmente para acessar armazenamento de documentos compartilhados, sistemas de informação corporativos e serviços financeiros. Nessas circunstâncias, os atacantes não têm motivos para buscar maneiras de comprometer completamente o sistema operacional para instalar um rootkit completo. É muito mais fácil instalar um complemento malicioso para o navegador e usá-lo para controlar o fluxo de dados confidenciais. Além de controlar os dados em trânsito, o complemento pode solicitar permissões para acessar dados locais, webcams e localização. A experiência mostra que a maioria dos usuários ignora as permissões solicitadas e que 80% dos 1000 complementos populares solicitam acesso a dados em todas as páginas processadas.
Fonte: opennet.ru
