Uyanık Güvenlik Şirketi tanımlama hakkında gizli kullanıcı verilerini harici sunuculara göndererek Google Chrome'a. Eklentilerin ayrıca ekran görüntüsü alma, pano içeriğini okuma, Çerezlerde erişim belirteçlerinin varlığını analiz etme ve web formlarındaki girdileri engelleme erişimi de vardı. Belirlenen kötü amaçlı eklentiler Chrome Web Mağazası'nda toplamda 32.9 milyon indirme sayısına ulaşırken, en popüler olanı (Arama Yöneticisi) 10 milyon kez indirildi ve 22 bin inceleme içeriyor.
Dikkate alınan tüm eklemelerin tek bir hücum takımı tarafından hazırlandığı varsayılmaktadır, çünkü sonuçta gizli verilerin yakalanmasının yanı sıra ortak tasarım öğeleri ve tekrarlanan kodu dağıtmak ve organize etmek için tipik bir şema. Kötü amaçlı kod içeren dosyalar Chrome Mağazası kataloğuna yerleştirildi ve kötü amaçlı etkinlikle ilgili bir bildirim gönderildikten sonra zaten silindi. Birçok kötü amaçlı eklenti, ek tarayıcı güvenliği sağlamayı, arama gizliliğini artırmayı, PDF dönüştürmeyi ve biçim dönüştürmeyi amaçlayanlar da dahil olmak üzere çeşitli popüler eklentilerin işlevlerini kopyaladı.
Eklenti geliştiricileri ilk olarak Chrome Mağazası'nda kötü amaçlı kod içermeyen temiz bir sürüm yayınladılar, hakem incelemesinden geçtiler ve ardından kurulumdan sonra kötü amaçlı kod yükleyen güncellemelerden birine değişiklikler eklediler. Kötü amaçlı etkinliğin izlerini gizlemek için seçici bir yanıt tekniği de kullanıldı; ilk istek kötü amaçlı bir indirme döndürdü ve sonraki istekler şüpheli olmayan veriler döndürdü.
Kötü amaçlı eklentilerin yayılmasının ana yolları, profesyonel görünümlü sitelerin tanıtılması (aşağıdaki resimde olduğu gibi) ve harici sitelerden daha sonra kod indirilmesine yönelik doğrulama mekanizmalarını atlayarak Chrome Web Mağazası'na yerleştirilmesidir. Saldırganlar, eklentilerin yalnızca Chrome Web Mağazası'ndan yüklenmesine ilişkin kısıtlamaları aşmak için önceden yüklenmiş eklentilere sahip ayrı Chromium derlemeleri dağıttı ve ayrıca bunları sistemde zaten mevcut olan reklam uygulamaları (Reklam Yazılımı) aracılığıyla da yükledi. Araştırmacılar finans, medya, tıp, ilaç, petrol ve gaz ve ticaret şirketlerinin yanı sıra eğitim ve devlet kurumlarından oluşan 100 ağı analiz etti ve neredeyse hepsinde kötü amaçlı eklentilerin varlığına dair izler buldu.
Kötü amaçlı eklentileri dağıtma kampanyası sırasında, birden fazla kişi , popüler sitelerle kesişen (örneğin, gmaille.com, youtubeunblocked.net vb.) veya daha önce mevcut alan adları için yenileme süresinin bitiminden sonra kaydolmuş olanlar. Bu alanlar aynı zamanda kötü amaçlı etkinlik yönetimi altyapısında ve kullanıcının açtığı sayfalar bağlamında yürütülen kötü amaçlı JavaScript eklentilerini indirmek için de kullanıldı.
Araştırmacılar, Galcomm alan adı kayıt şirketiyle, kötü amaçlı faaliyetlere yönelik 15 bin alan adının kaydedildiği (tüm alan adlarının %60'ı bu kayıt şirketi tarafından verilen) bir komplo olduğundan şüpheleniyordu, ancak Galcomm temsilcileri Bu varsayımlar, listelenen alan adlarının %25'inin zaten silindiğini veya Galcomm tarafından yayınlanmadığını ve geri kalanın neredeyse tamamının aktif olmayan park edilmiş alan adları olduğunu gösterdi. Galcomm temsilcileri ayrıca, raporun kamuya açıklanmasından önce kimsenin kendileriyle iletişime geçmediğini, üçüncü bir taraftan kötü amaçlı kullanılan alan adlarının bir listesini aldıklarını ve şu anda bunlar üzerinde analiz yaptıklarını bildirdi.
Sorunu tespit eden araştırmacılar, kötü amaçlı eklentileri yeni bir rootkit ile karşılaştırıyor; birçok kullanıcının ana faaliyeti, paylaşılan belge depolama alanına, kurumsal bilgi sistemlerine ve finansal hizmetlere eriştikleri bir tarayıcı aracılığıyla gerçekleştiriliyor. Bu gibi durumlarda, saldırganların tam teşekküllü bir rootkit kurmak için işletim sistemini tamamen tehlikeye atmanın yollarını aramasının bir anlamı yoktur; kötü amaçlı bir tarayıcı eklentisi kurmak ve gizli verilerin akışını kontrol etmek çok daha kolaydır. BT. Eklenti, toplu taşıma verilerini izlemenin yanı sıra yerel verilere, bir web kamerasına veya konuma erişim izinleri talep edebilir. Uygulamada görüldüğü gibi, çoğu kullanıcı istenen izinlere dikkat etmiyor ve 80 popüler eklentinin %1000'i, işlenen tüm sayfaların verilerine erişim talep ediyor.
Kaynak: opennet.ru
