Awake Security Company om att identifiera till Google Chrome och skickar konfidentiell användardata till externa servrar. Tilläggen hade också tillgång till att ta skärmdumpar, läsa innehållet i urklipp, analysera förekomsten av åtkomsttokens i cookies och avlyssna input i webbformulär. Totalt uppgick de identifierade skadliga tilläggen till 32.9 miljoner nedladdningar i Chrome Web Store, och den mest populära (Search Manager) laddades ner 10 miljoner gånger och inkluderar 22 tusen recensioner.
Det antas att alla de övervägda tilläggen förbereddes av ett lag angripare, eftersom totalt sett ett typiskt schema för att distribuera och organisera insamlingen av konfidentiell data, såväl som vanliga designelement och upprepad kod. med skadlig kod placerades i Chrome Store-katalogen och har redan tagits bort efter att ha skickat ett meddelande om skadlig aktivitet. Många skadliga tillägg kopierade funktionen hos olika populära tillägg, inklusive de som syftade till att ge extra webbläsarsäkerhet, öka sökintegriteten, PDF-konvertering och formatkonvertering.
Tilläggsutvecklare publicerade först en ren version utan skadlig kod i Chrome Store, genomgick expertgranskning och lade sedan till ändringar i en av uppdateringarna som laddade skadlig kod efter installationen. För att dölja spår av skadlig aktivitet användes också en selektiv svarsteknik - den första begäran returnerade en skadlig nedladdning, och efterföljande förfrågningar returnerade otänkbara data.
De huvudsakliga sätten på vilka skadliga tillägg sprids är genom marknadsföring av webbplatser med ett professionellt utseende (som på bilden nedan) och placering i Chrome Web Store, genom att kringgå verifieringsmekanismer för efterföljande nedladdning av kod från externa webbplatser. För att kringgå begränsningarna för att installera tillägg endast från Chrome Web Store distribuerade angriparna separata samlingar av Chromium med förinstallerade tillägg och installerade dem även genom reklamapplikationer (Adware) som redan fanns i systemet. Forskare analyserade 100 nätverk av finans-, media-, medicin-, läkemedels-, olje- och gas- och handelsföretag, såväl som utbildnings- och statliga institutioner, och hittade spår av förekomsten av skadliga tillägg i nästan alla av dem.
Under kampanjen för att distribuera skadliga tillägg, mer än , korsar populära webbplatser (till exempel gmaille.com, youtubeunblocked.net, etc.) eller registreras efter utgången av förnyelseperioden för tidigare befintliga domäner. Dessa domäner användes också i infrastrukturen för hantering av skadlig aktivitet och för att ladda ner skadliga JavaScript-inlägg som kördes i samband med de sidor som användaren öppnade.
Forskare misstänkte en konspiration med Galcomms domänregistrator, där 15 tusen domäner för skadliga aktiviteter registrerades (60 % av alla domäner utfärdade av denna registrar), men Galcomms representanter Dessa antaganden indikerade att 25 % av de listade domänerna redan har tagits bort eller inte har utfärdats av Galcomm, och resten, nästan alla är inaktiva parkerade domäner. Representanter för Galcomm rapporterade också att ingen kontaktade dem innan rapporten offentliggjordes, och de fick en lista över domäner som används för skadliga syften från en tredje part och håller nu på att analysera dem.
Forskarna som identifierade problemet jämför de skadliga tilläggen med ett nytt rootkit - huvudaktiviteten för många användare utförs via en webbläsare, genom vilken de får tillgång till delad dokumentlagring, företagsinformationssystem och finansiella tjänster. Under sådana förhållanden är det ingen mening för angripare att leta efter sätt att fullständigt äventyra operativsystemet för att installera ett fullfjädrat rootkit - det är mycket lättare att installera ett skadligt webbläsartillägg och kontrollera flödet av konfidentiell data genom Det. Förutom att övervaka transitdata kan tillägget begära behörighet att komma åt lokal data, en webbkamera eller plats. Som praxis visar uppmärksammar de flesta användare inte de begärda behörigheterna, och 80 % av de 1000 populära tilläggen begär åtkomst till data på alla bearbetade sidor.
Källa: opennet.ru