Varnostno podjetje Awake o prepoznavanju v Google Chrome, pošiljanje zaupnih uporabniških podatkov zunanjim strežnikom. Dodatki so imeli tudi dostop do snemanja posnetkov zaslona, branja vsebine odložišča, analiziranja prisotnosti dostopnih žetonov v piškotkih in prestrezanja vnosa v spletne obrazce. Skupno so identificirani zlonamerni dodatki v spletni trgovini Chrome prenesli 32.9 milijona, najbolj priljubljen (Search Manager) pa je bil prenesen 10-milijonkrat in vključuje 22 tisoč ocen.
Predvideva se, da je vse obravnavane dodatke pripravila ena ekipa napadalcev, saj v vseh tipično shemo za distribucijo in organizacijo zajemanja zaupnih podatkov, kot tudi skupne elemente oblikovanja in ponovljeno kodo. z zlonamerno kodo so bili uvrščeni v katalog trgovine Chrome in so bili izbrisani že po poslanem obvestilu o zlonamerni dejavnosti. Številni zlonamerni dodatki so kopirali funkcionalnost različnih priljubljenih dodatkov, vključno s tistimi, namenjenimi zagotavljanju dodatne varnosti brskalnika, povečanju zasebnosti iskanja, pretvorbi PDF in pretvorbi oblike.
Razvijalci dodatkov so najprej objavili čisto različico brez zlonamerne kode v trgovini Chrome, opravili strokovni pregled in nato dodali spremembe v eno od posodobitev, ki so po namestitvi naložile zlonamerno kodo. Za prikrivanje sledi zlonamerne dejavnosti je bila uporabljena tudi tehnika selektivnega odziva – prva zahteva je vrnila zlonamerni prenos, naslednje zahteve pa nesumljive podatke.
Glavni načini širjenja zlonamernih dodatkov so promocija spletnih mest profesionalnega videza (kot na spodnji sliki) in umestitev v spletno trgovino Chrome, pri čemer zaobidejo mehanizme preverjanja za naknadni prenos kode z zunanjih spletnih mest. Da bi zaobšli omejitve namestitve dodatkov samo iz spletne trgovine Chrome, so napadalci razdelili ločene sklope Chromiuma z vnaprej nameščenimi dodatki in jih namestili tudi prek oglaševalskih aplikacij (Adware), ki so že prisotne v sistemu. Raziskovalci so analizirali 100 omrežij finančnih, medijskih, medicinskih, farmacevtskih, naftno-plinskih in trgovskih podjetij ter izobraževalnih in vladnih institucij in v skoraj vseh odkrili sledi prisotnosti zlonamernih dodatkov.
V času akcije razpečevanja zlonamernih dodatkov več kot , ki se križajo s priljubljenimi spletnimi mesti (na primer gmaille.com, youtubeunblocked.net itd.) ali registrirani po preteku obdobja podaljšanja za predhodno obstoječe domene. Te domene so bile uporabljene tudi v infrastrukturi za upravljanje zlonamernih dejavnosti in za prenos zlonamernih vstavkov JavaScript, ki so bili izvedeni v kontekstu strani, ki jih je uporabnik odprl.
Raziskovalci so sumili na zaroto z registrarjem domen Galcomm, v katerem je bilo registriranih 15 tisoč domen za zlonamerne dejavnosti (60 % vseh domen, ki jih je izdal ta registrar), vendar predstavniki Galcomma Te predpostavke so pokazale, da je 25 % navedenih domen že izbrisanih ali jih Galcomm ni izdal, ostale, skoraj vse, pa so neaktivne parkirane domene. Predstavniki Galcomma so še sporočili, da jih pred javno objavo poročila ni nihče kontaktiral, seznam domen, uporabljenih v zlonamerne namene, pa so prejeli od tretje osebe in zdaj na njih izvajajo analizo.
Raziskovalci, ki so prepoznali težavo, zlonamerne dodatke primerjajo z novim rootkitom – glavna dejavnost mnogih uporabnikov se izvaja prek brskalnika, prek katerega dostopajo do skupnega shranjevanja dokumentov, korporativnih informacijskih sistemov in finančnih storitev. V takšnih razmerah nima smisla, da bi napadalci iskali načine za popolno ogrožanje operacijskega sistema, da bi namestili popoln rootkit - veliko lažje je namestiti zlonamerni dodatek brskalniku in nadzorovati pretok zaupnih podatkov prek to. Poleg spremljanja podatkov o prevozu lahko dodatek zahteva dovoljenja za dostop do lokalnih podatkov, spletne kamere ali lokacije. Kot kaže praksa, večina uporabnikov ni pozorna na zahtevana dovoljenja in 80% od 1000 priljubljenih dodatkov zahteva dostop do podatkov vseh obdelanih strani.
Vir: opennet.ru