Awake Security Company
Det antas att alla de övervägda tilläggen förbereddes av ett lag angripare, eftersom totalt sett
Tilläggsutvecklare publicerade först en ren version utan skadlig kod i Chrome Store, genomgick expertgranskning och lade sedan till ändringar i en av uppdateringarna som laddade skadlig kod efter installationen. För att dölja spår av skadlig aktivitet användes också en selektiv svarsteknik - den första begäran returnerade en skadlig nedladdning, och efterföljande förfrågningar returnerade otänkbara data.
De huvudsakliga sätten på vilka skadliga tillägg sprids är genom marknadsföring av webbplatser med ett professionellt utseende (som på bilden nedan) och placering i Chrome Web Store, genom att kringgå verifieringsmekanismer för efterföljande nedladdning av kod från externa webbplatser. För att kringgå begränsningarna för att installera tillägg endast från Chrome Web Store distribuerade angriparna separata samlingar av Chromium med förinstallerade tillägg och installerade dem även genom reklamapplikationer (Adware) som redan fanns i systemet. Forskare analyserade 100 nätverk av finans-, media-, medicin-, läkemedels-, olje- och gas- och handelsföretag, såväl som utbildnings- och statliga institutioner, och hittade spår av förekomsten av skadliga tillägg i nästan alla av dem.
Under kampanjen för att distribuera skadliga tillägg, mer än
Forskare misstänkte en konspiration med Galcomms domänregistrator, där 15 tusen domäner för skadliga aktiviteter registrerades (60 % av alla domäner utfärdade av denna registrar), men Galcomms representanter
Forskarna som identifierade problemet jämför de skadliga tilläggen med ett nytt rootkit - huvudaktiviteten för många användare utförs via en webbläsare, genom vilken de får tillgång till delad dokumentlagring, företagsinformationssystem och finansiella tjänster. Under sådana förhållanden är det ingen mening för angripare att leta efter sätt att fullständigt äventyra operativsystemet för att installera ett fullfjädrat rootkit - det är mycket lättare att installera ett skadligt webbläsartillägg och kontrollera flödet av konfidentiell data genom Det. Förutom att övervaka transitdata kan tillägget begära behörighet att komma åt lokal data, en webbkamera eller plats. Som praxis visar uppmärksammar de flesta användare inte de begärda behörigheterna, och 80 % av de 1000 populära tilläggen begär åtkomst till data på alla bearbetade sidor.
Källa: opennet.ru