บริษัทรักษาความปลอดภัยตื่น เกี่ยวกับการระบุ ไปยัง Google Chrome ส่งข้อมูลผู้ใช้ที่เป็นความลับไปยังเซิร์ฟเวอร์ภายนอก ส่วนเสริมยังมีสิทธิ์เข้าถึงการจับภาพหน้าจอ อ่านเนื้อหาของคลิปบอร์ด วิเคราะห์การมีอยู่ของโทเค็นการเข้าถึงในคุกกี้ และสกัดกั้นอินพุตในรูปแบบเว็บ โดยรวมแล้ว ส่วนเสริมที่เป็นอันตรายที่ระบุนั้นมียอดดาวน์โหลดทั้งสิ้น 32.9 ล้านครั้งใน Chrome เว็บสโตร์ และส่วนเสริมที่ได้รับความนิยมสูงสุด (Search Manager) ถูกดาวน์โหลด 10 ล้านครั้ง และรวมบทวิจารณ์ 22 รายการ
สันนิษฐานว่าการเพิ่มเติมที่พิจารณาทั้งหมดนั้นจัดทำโดยทีมโจมตีทีมเดียวเนื่องจากทั้งหมด รูปแบบทั่วไปสำหรับการกระจายและการจัดระเบียบการเก็บข้อมูลที่เป็นความลับ เช่นเดียวกับองค์ประกอบการออกแบบทั่วไปและโค้ดที่ทำซ้ำ ที่มีโค้ดที่เป็นอันตรายถูกวางไว้ในแค็ตตาล็อก Chrome Store และถูกลบไปแล้วหลังจากส่งการแจ้งเตือนเกี่ยวกับกิจกรรมที่เป็นอันตราย ส่วนเสริมที่เป็นอันตรายจำนวนมากคัดลอกฟังก์ชันการทำงานของส่วนเสริมยอดนิยมต่างๆ รวมถึงส่วนเสริมที่มีเป้าหมายเพื่อเพิ่มความปลอดภัยให้กับเบราว์เซอร์ เพิ่มความเป็นส่วนตัวในการค้นหา การแปลงไฟล์ PDF และการแปลงรูปแบบ
นักพัฒนาส่วนเสริมได้โพสต์เวอร์ชันใหม่ที่ไม่มีโค้ดที่เป็นอันตรายใน Chrome Store เป็นครั้งแรก เข้ารับการตรวจสอบจากผู้ทรงคุณวุฒิ และเพิ่มการเปลี่ยนแปลงในการอัปเดตรายการใดรายการหนึ่งที่โหลดโค้ดที่เป็นอันตรายหลังการติดตั้ง เพื่อซ่อนร่องรอยของกิจกรรมที่เป็นอันตราย ยังได้ใช้เทคนิคการตอบสนองแบบเลือก - คำขอแรกส่งคืนการดาวน์โหลดที่เป็นอันตราย และคำขอต่อมาส่งคืนข้อมูลที่ไม่น่าสงสัย
วิธีหลักในการแพร่กระจายส่วนเสริมที่เป็นอันตรายคือการโปรโมตไซต์ที่ดูเป็นมืออาชีพ (ดังภาพด้านล่าง) และการวางตำแหน่งใน Chrome เว็บสโตร์ โดยข้ามกลไกการตรวจสอบสำหรับการดาวน์โหลดโค้ดจากไซต์ภายนอกในภายหลัง เพื่อหลีกเลี่ยงข้อจำกัดในการติดตั้งส่วนเสริมจาก Chrome เว็บสโตร์เท่านั้น ผู้โจมตีจึงกระจายชุดประกอบของ Chromium แยกกันพร้อมส่วนเสริมที่ติดตั้งไว้ล่วงหน้า และติดตั้งผ่านแอปพลิเคชันโฆษณา (แอดแวร์) ที่มีอยู่ในระบบแล้ว นักวิจัยได้วิเคราะห์เครือข่ายทางการเงิน สื่อ การแพทย์ ยา น้ำมันและก๊าซ และบริษัทการค้า รวมถึงสถาบันการศึกษาและรัฐบาลจำนวน 100 เครือข่าย และพบร่องรอยของการมีอยู่ของโปรแกรมเสริมที่เป็นอันตรายในเครือข่ายเกือบทั้งหมด
ในระหว่างการหาเสียงเพื่อแจกจ่ายโปรแกรมเสริมที่เป็นอันตรายมากกว่า , ตัดกับเว็บไซต์ยอดนิยม (เช่น gmaille.com, youtubeunblocked.net ฯลฯ ) หรือลงทะเบียนหลังจากสิ้นสุดระยะเวลาการต่ออายุสำหรับโดเมนที่มีอยู่ก่อนหน้านี้ โดเมนเหล่านี้ยังถูกใช้ในโครงสร้างพื้นฐานการจัดการกิจกรรมที่เป็นอันตราย และเพื่อดาวน์โหลดส่วนแทรก JavaScript ที่เป็นอันตรายซึ่งดำเนินการในบริบทของเพจที่ผู้ใช้เปิด
นักวิจัยสงสัยว่ามีการสมรู้ร่วมคิดกับผู้รับจดทะเบียนโดเมน Galcomm ซึ่งมีการลงทะเบียน 15 โดเมนสำหรับกิจกรรมที่เป็นอันตราย (60% ของโดเมนทั้งหมดที่ออกโดยผู้รับจดทะเบียนรายนี้) แต่ตัวแทนของ Galcomm สมมติฐานเหล่านี้ระบุว่า 25% ของโดเมนที่อยู่ในรายการได้ถูกลบไปแล้วหรือไม่ได้ออกโดย Galcomm และส่วนที่เหลือ เกือบทั้งหมดเป็นโดเมนที่พักที่ไม่ได้ใช้งาน ตัวแทนของ Galcomm ยังรายงานด้วยว่าไม่มีใครติดต่อพวกเขาก่อนที่จะเปิดเผยรายงานต่อสาธารณะ และพวกเขาได้รับรายชื่อโดเมนที่ใช้เพื่อวัตถุประสงค์ที่เป็นอันตรายจากบุคคลที่สาม และตอนนี้กำลังดำเนินการวิเคราะห์พวกเขา
นักวิจัยที่ระบุปัญหาได้เปรียบเทียบส่วนเสริมที่เป็นอันตรายกับรูทคิทใหม่ กิจกรรมหลักของผู้ใช้จำนวนมากดำเนินการผ่านเบราว์เซอร์ ซึ่งพวกเขาเข้าถึงพื้นที่จัดเก็บเอกสารที่ใช้ร่วมกัน ระบบข้อมูลองค์กร และบริการทางการเงิน ในสภาวะเช่นนี้ ผู้โจมตีจะมองหาวิธีที่จะประนีประนอมระบบปฏิบัติการโดยสมบูรณ์เพื่อติดตั้งรูทคิทที่มีคุณสมบัติครบถ้วน จึงไม่สมเหตุสมผลสำหรับผู้โจมตี - จะง่ายกว่ามากในการติดตั้งโปรแกรมเสริมเบราว์เซอร์ที่เป็นอันตรายและควบคุมการไหลของข้อมูลที่เป็นความลับผ่าน มัน. นอกเหนือจากการตรวจสอบข้อมูลการขนส่งสาธารณะแล้ว ส่วนเสริมยังสามารถขอสิทธิ์ในการเข้าถึงข้อมูลในเครื่อง กล้องเว็บ หรือตำแหน่งได้อีกด้วย ตามที่แสดงในทางปฏิบัติ ผู้ใช้ส่วนใหญ่ไม่ใส่ใจกับการอนุญาตที่ร้องขอ และ 80% ของโปรแกรมเสริมยอดนิยม 1000 รายการร้องขอการเข้าถึงข้อมูลของหน้าที่ประมวลผลทั้งหมด
ที่มา: opennet.ru