Prebuďte sa bezpečnostná spoločnosť
Predpokladá sa, že všetky uvažované dodatky pripravil jeden tím útočníkov, keďže celkovo
Vývojári doplnkov najprv zverejnili čistú verziu bez škodlivého kódu v Chrome Store, podstúpili partnerskú kontrolu a následne pridali zmeny v jednej z aktualizácií, ktorá po inštalácii načítala škodlivý kód. Na zakrytie stôp po škodlivej činnosti sa použila aj technika selektívnej odpovede – prvá požiadavka vrátila škodlivé sťahovanie a ďalšie požiadavky vrátili nepodozrivé údaje.
Hlavnými spôsobmi šírenia škodlivých doplnkov je propagácia profesionálne vyzerajúcich stránok (ako na obrázku nižšie) a umiestnenie v Internetovom obchode Chrome, čím sa obídu overovacie mechanizmy na následné sťahovanie kódu z externých stránok. Aby útočníci obišli obmedzenia týkajúce sa inštalácie doplnkov iba z Internetového obchodu Chrome, distribuovali samostatné zostavy Chromium s predinštalovanými doplnkami a nainštalovali ich aj prostredníctvom reklamných aplikácií (Adware), ktoré už sú v systéme prítomné. Výskumníci analyzovali 100 sietí finančných, mediálnych, medicínskych, farmaceutických, ropných a plynárenských a obchodných spoločností, ako aj vzdelávacích a vládnych inštitúcií a takmer vo všetkých našli stopy prítomnosti škodlivých doplnkov.
Počas kampane na distribúciu škodlivých doplnkov viac ako
Výskumníci mali podozrenie na sprisahanie s registrátorom domén Galcomm, v ktorom bolo zaregistrovaných 15 60 domén na zákerné aktivity (XNUMX % všetkých domén vydaných týmto registrátorom), ale zástupcovia Galcommu
Výskumníci, ktorí problém identifikovali, porovnávajú škodlivé doplnky s novým rootkitom – hlavná činnosť mnohých používateľov prebieha cez prehliadač, cez ktorý pristupujú k zdieľaným úložiskám dokumentov, podnikovým informačným systémom a finančným službám. V takýchto podmienkach nemá pre útočníkov zmysel hľadať spôsoby, ako úplne kompromitovať operačný systém, aby si nainštalovali plnohodnotný rootkit – oveľa jednoduchšie je nainštalovať škodlivý doplnok prehliadača a kontrolovať tok dôverných údajov cez to. Okrem sledovania údajov o preprave môže doplnok požadovať povolenia na prístup k miestnym údajom, webovej kamere alebo polohe. Ako ukazuje prax, väčšina používateľov nevenuje pozornosť požadovaným povoleniam a 80% z 1000 XNUMX populárnych doplnkov požaduje prístup k údajom všetkých spracovaných stránok.
Zdroj: opennet.ru