Компанія Awake Security
Передбачається, що всі розглянуті доповнення підготовлені однією командою зловмисників, оскільки у всіх
Розробники доповнень спочатку розміщували в Chrome Store чисту версію без шкідливого коду, проходили рецензування, а потім в одному з оновлень додавали зміни, які підвантажували шкідливий код після встановлення. Для приховання слідів шкідливої активності також застосовувалася техніка вибіркових відповідей - при першому запиті видавалося шкідливе завантаження, а при подальших даних, що не викликають підозри.
Як основні шляхи поширення шкідливих доповнень виділяється просування професійно виглядають сайтів (як на малюнку нижче) і розміщення в Chrome Web Store, оминаючи механізми перевірки для подальшого завантаження коду із зовнішніх сайтів. Для обходу обмежень по встановленню доповнень лише з Chrome Web Store атакуючими поширювалися окремі збірки Chromium з встановленими доповненнями, а також проводилася установка через вже наявні в системі рекламні програми (Adware). Дослідники проаналізували 100 мереж фінансових, медійних, медичних, фармацевтичних, нафтогазових і торгових компаній, а також освітніх та держустанов, і майже у всіх з них виявили сліди наявності шкідливих доповнень, що розглядаються.
Під час кампанії з поширення шкідливих доповнень було зареєстровано більше
Дослідники запідозрили змову з реєстратором доменів Galcomm, у якому було зареєстровано 15 тисяч доменів для шкідливих дій (60% від усіх виданих даним реєстратором доменів), але представники Galcomm
Дослідники, які виявили проблему, порівнюють шкідливі доповнення з новим руткітом — основна діяльність багатьох користувачів ведеться через браузер, через який здійснюється доступ до спільних сховищ документів, корпоративних інформаційних систем та фінансових сервісів. Зловмисникам у таких умовах немає сенсу шукати шляхи повної компрометації операційної системи для встановлення повноцінного руткіту — набагато простіше домогтися встановлення шкідливого браузерного доповнення та контролювати через нього потоки конфіденційних даних. Крім контролю за транзитними даними, доповнення може запросити повноваження для доступу до локальних даних, web-камери, розташування. Як показує практика, більшість користувачів не звертають увагу на повноваження, що запитуються, а 80% з 1000 популярних доповнень запитують доступ до даних всіх сторінок, що обробляються.
Джерело: opennet.ru