Компанія Awake Security про виявлення до Google Chrome, які надсилають на зовнішні сервери конфіденційні дані користувача. У тому числі доповнення мали доступ до створення скріншотів, читання вмісту буфера обміну, аналізу наявності токенів доступу в cookie та перехоплення введення у web-формах. У сумі виявлені шкідливі доповнення налічували 32.9 млн завантажень у Chrome Web Store, а найпопулярніше (Search Manager), було завантажено 10 млн разів і включає 22 тисячі відгуків.
Передбачається, що всі розглянуті доповнення підготовлені однією командою зловмисників, оскільки у всіх типова схема поширення та організації захоплення конфіденційних даних, а також зустрічаються загальні елементи дизайну та код, що повторюється. зі шкідливим кодом були розміщені в каталозі Chrome Store і вже видалені після надсилання повідомлення про шкідливу активність. Багато шкідливих доповнень копіювали функціональність різних популярних доповнень, у тому числі націлених на забезпечення додаткового захисту браузера, підвищення конфіденційності при пошуку, перетворення PDF та конвертації форматів.
Розробники доповнень спочатку розміщували в Chrome Store чисту версію без шкідливого коду, проходили рецензування, а потім в одному з оновлень додавали зміни, які підвантажували шкідливий код після встановлення. Для приховання слідів шкідливої активності також застосовувалася техніка вибіркових відповідей - при першому запиті видавалося шкідливе завантаження, а при подальших даних, що не викликають підозри.
Як основні шляхи поширення шкідливих доповнень виділяється просування професійно виглядають сайтів (як на малюнку нижче) і розміщення в Chrome Web Store, оминаючи механізми перевірки для подальшого завантаження коду із зовнішніх сайтів. Для обходу обмежень по встановленню доповнень лише з Chrome Web Store атакуючими поширювалися окремі збірки Chromium з встановленими доповненнями, а також проводилася установка через вже наявні в системі рекламні програми (Adware). Дослідники проаналізували 100 мереж фінансових, медійних, медичних, фармацевтичних, нафтогазових і торгових компаній, а також освітніх та держустанов, і майже у всіх з них виявили сліди наявності шкідливих доповнень, що розглядаються.
Під час кампанії з поширення шкідливих доповнень було зареєстровано більше , що перетинаються з популярними сайтами (наприклад, gmaille.com, youtubeunblocked.net тощо) або зареєстрованими після закінчення терміну продовження раніше існуючих доменів. Дані домени також використовувалися в інфраструктурі управління шкідливою активністю та для завантаження шкідливих JavaScript-вставок, що виконуються в контексті сторінок, що відкриваються користувачем.
Дослідники запідозрили змову з реєстратором доменів Galcomm, у якому було зареєстровано 15 тисяч доменів для шкідливих дій (60% від усіх виданих даним реєстратором доменів), але представники Galcomm ці припущення і вказали, що 25% з перелічених доменів вже видалено або видано не Galcomm, а решта майже всіх є неактивними припаркованими доменами. Представники Galcomm також повідомили, що до публічного розкриття звіту до них ніхто не звертався, і вони отримали список доменів, які застосовуються для шкідливих цілей, від третьої особи і тепер проводять по них свій розбір.
Дослідники, які виявили проблему, порівнюють шкідливі доповнення з новим руткітом — основна діяльність багатьох користувачів ведеться через браузер, через який здійснюється доступ до спільних сховищ документів, корпоративних інформаційних систем та фінансових сервісів. Зловмисникам у таких умовах немає сенсу шукати шляхи повної компрометації операційної системи для встановлення повноцінного руткіту — набагато простіше домогтися встановлення шкідливого браузерного доповнення та контролювати через нього потоки конфіденційних даних. Крім контролю за транзитними даними, доповнення може запросити повноваження для доступу до локальних даних, web-камери, розташування. Як показує практика, більшість користувачів не звертають увагу на повноваження, що запитуються, а 80% з 1000 популярних доповнень запитують доступ до даних всіх сторінок, що обробляються.
Джерело: opennet.ru