บริษัทรักษาความปลอดภัยตื่น
สันนิษฐานว่าการเพิ่มเติมที่พิจารณาทั้งหมดนั้นจัดทำโดยทีมโจมตีทีมเดียวเนื่องจากทั้งหมด
นักพัฒนาส่วนเสริมได้โพสต์เวอร์ชันใหม่ที่ไม่มีโค้ดที่เป็นอันตรายใน Chrome Store เป็นครั้งแรก เข้ารับการตรวจสอบจากผู้ทรงคุณวุฒิ และเพิ่มการเปลี่ยนแปลงในการอัปเดตรายการใดรายการหนึ่งที่โหลดโค้ดที่เป็นอันตรายหลังการติดตั้ง เพื่อซ่อนร่องรอยของกิจกรรมที่เป็นอันตราย ยังได้ใช้เทคนิคการตอบสนองแบบเลือก - คำขอแรกส่งคืนการดาวน์โหลดที่เป็นอันตราย และคำขอต่อมาส่งคืนข้อมูลที่ไม่น่าสงสัย
วิธีหลักในการแพร่กระจายส่วนเสริมที่เป็นอันตรายคือการโปรโมตไซต์ที่ดูเป็นมืออาชีพ (ดังภาพด้านล่าง) และการวางตำแหน่งใน Chrome เว็บสโตร์ โดยข้ามกลไกการตรวจสอบสำหรับการดาวน์โหลดโค้ดจากไซต์ภายนอกในภายหลัง เพื่อหลีกเลี่ยงข้อจำกัดในการติดตั้งส่วนเสริมจาก Chrome เว็บสโตร์เท่านั้น ผู้โจมตีจึงกระจายชุดประกอบของ Chromium แยกกันพร้อมส่วนเสริมที่ติดตั้งไว้ล่วงหน้า และติดตั้งผ่านแอปพลิเคชันโฆษณา (แอดแวร์) ที่มีอยู่ในระบบแล้ว นักวิจัยได้วิเคราะห์เครือข่ายทางการเงิน สื่อ การแพทย์ ยา น้ำมันและก๊าซ และบริษัทการค้า รวมถึงสถาบันการศึกษาและรัฐบาลจำนวน 100 เครือข่าย และพบร่องรอยของการมีอยู่ของโปรแกรมเสริมที่เป็นอันตรายในเครือข่ายเกือบทั้งหมด
ในระหว่างการหาเสียงเพื่อแจกจ่ายโปรแกรมเสริมที่เป็นอันตรายมากกว่า
นักวิจัยสงสัยว่ามีการสมรู้ร่วมคิดกับผู้รับจดทะเบียนโดเมน Galcomm ซึ่งมีการลงทะเบียน 15 โดเมนสำหรับกิจกรรมที่เป็นอันตราย (60% ของโดเมนทั้งหมดที่ออกโดยผู้รับจดทะเบียนรายนี้) แต่ตัวแทนของ Galcomm
นักวิจัยที่ระบุปัญหาได้เปรียบเทียบส่วนเสริมที่เป็นอันตรายกับรูทคิทใหม่ กิจกรรมหลักของผู้ใช้จำนวนมากดำเนินการผ่านเบราว์เซอร์ ซึ่งพวกเขาเข้าถึงพื้นที่จัดเก็บเอกสารที่ใช้ร่วมกัน ระบบข้อมูลองค์กร และบริการทางการเงิน ในสภาวะเช่นนี้ ผู้โจมตีจะมองหาวิธีที่จะประนีประนอมระบบปฏิบัติการโดยสมบูรณ์เพื่อติดตั้งรูทคิทที่มีคุณสมบัติครบถ้วน จึงไม่สมเหตุสมผลสำหรับผู้โจมตี - จะง่ายกว่ามากในการติดตั้งโปรแกรมเสริมเบราว์เซอร์ที่เป็นอันตรายและควบคุมการไหลของข้อมูลที่เป็นความลับผ่าน มัน. นอกเหนือจากการตรวจสอบข้อมูลการขนส่งสาธารณะแล้ว ส่วนเสริมยังสามารถขอสิทธิ์ในการเข้าถึงข้อมูลในเครื่อง กล้องเว็บ หรือตำแหน่งได้อีกด้วย ตามที่แสดงในทางปฏิบัติ ผู้ใช้ส่วนใหญ่ไม่ใส่ใจกับการอนุญาตที่ร้องขอ และ 80% ของโปรแกรมเสริมยอดนิยม 1000 รายการร้องขอการเข้าถึงข้อมูลของหน้าที่ประมวลผลทั้งหมด
ที่มา: opennet.ru