Kompania Awake Security në lidhje me identifikimin në Google Chrome, duke dërguar të dhëna konfidenciale të përdoruesit në serverë të jashtëm. Shtesat gjithashtu kishin akses në marrjen e pamjeve të ekranit, leximin e përmbajtjes së kujtesës, analizimin e pranisë së shenjave të aksesit në Cookies dhe përgjimin e të dhënave në format e uebit. Në total, shtesat e identifikuara me qëllim të keq arritën në 32.9 milion shkarkime në Dyqanin e Uebit të Chrome, dhe më i popullarizuari (Menaxheri i Kërkimit) u shkarkua 10 milion herë dhe përfshin 22 mijë komente.
Supozohet se të gjitha shtesat e konsideruara janë përgatitur nga një ekip sulmuesish, pasi në të gjitha një skemë tipike për shpërndarjen dhe organizimin e kapjes së të dhënave konfidenciale, si dhe elementëve të zakonshëm të dizajnit dhe kodit të përsëritur. me kod me qëllim të keq u vendosën në katalogun e Dyqanit të Chrome dhe ishin fshirë tashmë pas dërgimit të një njoftimi për aktivitetin keqdashës. Shumë shtesa me qëllim të keq kopjuan funksionalitetin e shtesave të ndryshme të njohura, duke përfshirë ato që synojnë sigurimin shtesë të shfletuesit, rritjen e privatësisë së kërkimit, konvertimin në PDF dhe konvertimin e formatit.
Zhvilluesit e shtesave fillimisht postuan një version të pastër pa kod keqdashës në Dyqanin Chrome, iu nënshtruan rishikimit nga kolegët dhe më pas shtuan ndryshime në një nga përditësimet që ngarkuan kodin keqdashës pas instalimit. Për të fshehur gjurmët e aktivitetit me qëllim të keq, u përdor gjithashtu një teknikë e përgjigjes selektive - kërkesa e parë ktheu një shkarkim me qëllim të keq dhe kërkesat pasuese kthenin të dhëna të padyshimta.
Mënyrat kryesore në të cilat përhapen shtesat me qëllim të keq janë përmes promovimit të sajteve me pamje profesionale (si në foton më poshtë) dhe vendosjes në Dyqanin e Uebit të Chrome, duke anashkaluar mekanizmat e verifikimit për shkarkimin e mëvonshëm të kodit nga sajte të jashtme. Për të anashkaluar kufizimet për instalimin e shtesave vetëm nga Dyqani në internet i Chrome, sulmuesit shpërndanë asamble të veçanta të Chromium me shtesa të para-instaluara dhe gjithashtu i instaluan ato përmes aplikacioneve reklamuese (Adware) tashmë të pranishme në sistem. Studiuesit analizuan 100 rrjete të kompanive financiare, mediatike, mjekësore, farmaceutike, të naftës dhe gazit dhe tregtare, si dhe institucione arsimore dhe qeveritare, dhe gjetën gjurmë të pranisë së shtesave me qëllim të keq në pothuajse të gjitha.
Gjatë fushatës për shpërndarjen e shtesave me qëllim të keq, më shumë se , duke u kryqëzuar me sajte të njohura (për shembull, gmaille.com, youtubeunblocked.net, etj.) ose të regjistruara pas skadimit të periudhës së rinovimit për domenet ekzistuese më parë. Këto domene u përdorën gjithashtu në infrastrukturën e menaxhimit të aktiviteteve me qëllim të keq dhe për të shkarkuar inserte keqdashëse JavaScript që u ekzekutuan në kontekstin e faqeve që hapi përdoruesi.
Studiuesit dyshuan për një komplot me regjistruesin e domenit Galcomm, në të cilin u regjistruan 15 mijë domene për aktivitete me qëllim të keq (60% e të gjithë domeneve të lëshuara nga ky regjistrues), por përfaqësuesit e Galcomm Këto supozime treguan se 25% e domeneve të listuara tashmë janë fshirë ose nuk janë lëshuar nga Galcomm, dhe pjesa tjetër, pothuajse të gjitha janë domene të parkuara joaktive. Përfaqësuesit e Galcomm gjithashtu raportuan se askush nuk i kontaktoi ata përpara zbulimit publik të raportit, dhe ata morën një listë të domeneve të përdorura për qëllime keqdashëse nga një palë e tretë dhe tani po kryejnë analizat e tyre mbi to.
Studiuesit që identifikuan problemin krahasojnë shtesat me qëllim të keq me një rootkit të ri - aktiviteti kryesor i shumë përdoruesve kryhet përmes një shfletuesi, përmes të cilit ata aksesojnë ruajtjen e përbashkët të dokumenteve, sistemet e informacionit të korporatave dhe shërbimet financiare. Në kushte të tilla, nuk ka kuptim që sulmuesit të kërkojnë mënyra për të komprometuar plotësisht sistemin operativ në mënyrë që të instalojnë një rootkit të plotë - është shumë më e lehtë të instaloni një shtesë me qëllim të keq të shfletuesit dhe të kontrolloni rrjedhën e të dhënave konfidenciale përmes atë. Përveç monitorimit të të dhënave të tranzitit, shtesa mund të kërkojë leje për të hyrë në të dhënat lokale, një kamerë në internet ose vendndodhje. Siç tregon praktika, shumica e përdoruesve nuk u kushtojnë vëmendje lejeve të kërkuara dhe 80% e 1000 shtesave të njohura kërkojnë qasje në të dhënat e të gjitha faqeve të përpunuara.
Burimi: opennet.ru