Perusahaan Kaamanan Awake ngeunaan ngaidentipikasi ka Google Chrome, ngirim data pamaké rahasia ka server éksternal. Add-ons ogé miboga aksés ka nyandak Potret layar, maca eusi clipboard, nganalisa ayana token aksés dina Cookies, sarta intercepting input dina formulir web. Dina total, tambihan jahat anu diidentifikasi jumlahna 32.9 juta unduhan di Toko Wéb Chrome, sareng anu pang populerna (Panéangan Manajer) diunduh 10 juta kali sareng kalebet 22 rébu ulasan.
Diperkirakeun yén sadaya tambahan anu dianggap disiapkeun ku hiji tim panyerang, sabab sadayana skéma has pikeun ngadistribusikaeun tur ngatur newak data rahasia, kitu ogé elemen desain umum jeung kode ulang. kalayan kode jahat disimpen dina katalog Toko Chrome sareng parantos dihapus saatos ngirim béwara ngeunaan kagiatan jahat. Seueur tambihan anu jahat nyalin pungsionalitas sababaraha tambihan populér, kalebet anu ditujukeun pikeun nyayogikeun kaamanan browser tambahan, ningkatkeun privasi milarian, konversi PDF, sareng konversi format.
Pangembang tambihan mimiti masangkeun vérsi anu bersih tanpa kode jahat di Toko Chrome, ngalaman ulasan peer, teras nambihan parobahan dina salah sahiji apdet anu dimuat kode jahat saatos dipasang. Pikeun nyumputkeun ngambah aktivitas jahat, téknik respon selektif ieu ogé dipaké - pamundut munggaran balik a download jahat, sarta requests salajengna balik data uncurigative.
Cara utama panyebaran tambihan jahat nyaéta ngalangkungan promosi situs anu katingali profésional (sapertos dina gambar di handap ieu) sareng panempatan dina Toko Wéb Chrome, ngalangkungan mékanisme verifikasi pikeun ngaunduh kodeu salajengna tina situs éksternal. Pikeun ngalangkungan larangan dina masang tambihan ngan tina Toko Wéb Chrome, panyerang nyebarkeun rakitan Chromium anu kapisah sareng tambihan anu tos dipasang, sareng ogé dipasang ku aplikasi iklan (Adware) anu parantos aya dina sistem. Panaliti nganalisis 100 jaringan finansial, média, médis, farmasi, minyak sareng gas sareng perusahaan dagang, ogé lembaga pendidikan sareng pamaréntahan, sareng mendakan ngambah ayana tambihan jahat dina ampir sadayana.
Salila kampanye pikeun ngadistribusikaeun jahat tambihan-ons, leuwih ti , intersecting jeung situs populér (contona, gmaille.com, youtubeunblocked.net, jsb) atawa didaptarkeun sanggeus béakna periode pembaharuan pikeun domain saméméhna aya. Domain ieu ogé dipaké dina infrastruktur manajemén aktivitas jahat jeung pikeun ngundeur sisipan JavaScript jahat anu dieksekusi dina konteks kaca pamaké dibuka.
Panaliti nyangka konspirasi sareng registrar domain Galcomm, dimana 15 rébu domain pikeun kagiatan jahat didaptarkeun (60% tina sadaya domain anu dikaluarkeun ku registrar ieu), tapi wawakil Galcomm Asumsi ieu nunjukkeun yén 25% tina domain anu didaptarkeun parantos dihapus atanapi henteu dikaluarkeun ku Galcomm, sareng sésana, ampir sadayana mangrupikeun domain parkir anu teu aktif. Perwakilan Galcomm ogé ngalaporkeun yén teu aya anu ngahubungi aranjeunna sateuacan panyingkepan laporan umum, sareng aranjeunna nampi daptar domain anu dianggo pikeun tujuan jahat ti pihak katilu sareng ayeuna nuju nganalisa aranjeunna.
Panaliti anu ngaidentipikasi masalahna ngabandingkeun tambihan jahat sareng rootkit énggal - kagiatan utama seueur pangguna dilaksanakeun ngalangkungan browser, dimana aranjeunna ngaksés neundeun dokumén anu dibagi, sistem inpormasi perusahaan sareng jasa kauangan. Dina kaayaan kitu, teu aya akal pikeun panyerang milarian cara pikeun kompromi lengkep sistem operasi pikeun masang rootkit anu lengkep - langkung gampang pikeun masang browser anu jahat sareng ngontrol aliran data rahasia ngalangkungan. ieu. Salian ngawaskeun data transit, add-on tiasa menta idin pikeun ngakses data lokal, kaméra wéb, atanapi lokasi. Salaku prakték nempokeun, paling pamaké teu merhatikeun idin dipénta, sarta 80% tina 1000 populér add-ons menta aksés ka data sadaya kaca olahan.
sumber: opennet.ru