Prebuďte sa bezpečnostná spoločnosť o identifikácii do prehliadača Google Chrome, odosielanie dôverných používateľských údajov na externé servery. Doplnky mali tiež prístup k vytváraniu snímok obrazovky, čítaniu obsahu schránky, analýze prítomnosti prístupových tokenov v súboroch cookie a zachytávaniu vstupov vo webových formulároch. Celkovo si identifikované škodlivé doplnky v Internetovom obchode Chrome stiahli 32.9 milióna a najpopulárnejší (Správca vyhľadávania) bol stiahnutý 10 miliónov krát a obsahuje 22 tisíc recenzií.
Predpokladá sa, že všetky uvažované dodatky pripravil jeden tím útočníkov, keďže celkovo typická schéma distribúcie a organizácie zachytávania dôverných údajov, ako aj spoločných prvkov dizajnu a opakovaného kódu. so škodlivým kódom boli umiestnené v katalógu Chrome Store a po odoslaní upozornenia o škodlivej aktivite už boli odstránené. Mnohé škodlivé doplnky skopírovali funkcie rôznych populárnych doplnkov, vrátane tých, ktorých cieľom je poskytnúť dodatočné zabezpečenie prehliadača, zvýšiť súkromie vyhľadávania, konverziu PDF a konverziu formátu.
Vývojári doplnkov najprv zverejnili čistú verziu bez škodlivého kódu v Chrome Store, podstúpili partnerskú kontrolu a následne pridali zmeny v jednej z aktualizácií, ktorá po inštalácii načítala škodlivý kód. Na zakrytie stôp po škodlivej činnosti sa použila aj technika selektívnej odpovede – prvá požiadavka vrátila škodlivé sťahovanie a ďalšie požiadavky vrátili nepodozrivé údaje.
Hlavnými spôsobmi šírenia škodlivých doplnkov je propagácia profesionálne vyzerajúcich stránok (ako na obrázku nižšie) a umiestnenie v Internetovom obchode Chrome, čím sa obídu overovacie mechanizmy na následné sťahovanie kódu z externých stránok. Aby útočníci obišli obmedzenia týkajúce sa inštalácie doplnkov iba z Internetového obchodu Chrome, distribuovali samostatné zostavy Chromium s predinštalovanými doplnkami a nainštalovali ich aj prostredníctvom reklamných aplikácií (Adware), ktoré už sú v systéme prítomné. Výskumníci analyzovali 100 sietí finančných, mediálnych, medicínskych, farmaceutických, ropných a plynárenských a obchodných spoločností, ako aj vzdelávacích a vládnych inštitúcií a takmer vo všetkých našli stopy prítomnosti škodlivých doplnkov.
Počas kampane na distribúciu škodlivých doplnkov viac ako , ktoré sa prelínajú s obľúbenými stránkami (napríklad gmaille.com, youtubeunblocked.net atď.) alebo sú zaregistrované po uplynutí doby obnovenia pre predtým existujúce domény. Tieto domény boli tiež použité v infraštruktúre na správu škodlivých aktivít a na stiahnutie škodlivých vložiek JavaScript, ktoré boli spustené v kontexte stránok, ktoré používateľ otvoril.
Výskumníci mali podozrenie na sprisahanie s registrátorom domén Galcomm, v ktorom bolo zaregistrovaných 15 60 domén na zákerné aktivity (XNUMX % všetkých domén vydaných týmto registrátorom), ale zástupcovia Galcommu Tieto predpoklady naznačujú, že 25 % uvedených domén už bolo vymazaných alebo ich nevydala spoločnosť Galcomm a zvyšok, takmer všetky, sú neaktívne parkované domény. Zástupcovia spoločnosti Galcomm tiež uviedli, že pred zverejnením správy ich nikto nekontaktoval a od tretej strany dostali zoznam domén používaných na škodlivé účely a teraz na nich vykonávajú analýzu.
Výskumníci, ktorí problém identifikovali, porovnávajú škodlivé doplnky s novým rootkitom – hlavná činnosť mnohých používateľov prebieha cez prehliadač, cez ktorý pristupujú k zdieľaným úložiskám dokumentov, podnikovým informačným systémom a finančným službám. V takýchto podmienkach nemá pre útočníkov zmysel hľadať spôsoby, ako úplne kompromitovať operačný systém, aby si nainštalovali plnohodnotný rootkit – oveľa jednoduchšie je nainštalovať škodlivý doplnok prehliadača a kontrolovať tok dôverných údajov cez to. Okrem sledovania údajov o preprave môže doplnok požadovať povolenia na prístup k miestnym údajom, webovej kamere alebo polohe. Ako ukazuje prax, väčšina používateľov nevenuje pozornosť požadovaným povoleniam a 80% z 1000 XNUMX populárnych doplnkov požaduje prístup k údajom všetkých spracovaných stránok.
Zdroj: opennet.ru