Uyg'ongan xavfsizlik kompaniyasi aniqlash haqida Google Chrome-ga maxfiy foydalanuvchi ma'lumotlarini tashqi serverlarga yuborish. Qo'shimchalar, shuningdek, skrinshotlar olish, almashuv buferi tarkibini o'qish, cookie-fayllarda kirish tokenlari mavjudligini tahlil qilish va veb-shakllardagi kiritishni to'xtatish uchun ruxsatga ega edi. Hammasi bo'lib aniqlangan zararli qo'shimchalar Chrome internet-do'konida jami 32.9 million marta yuklab olingan, eng ommabop (Search Manager) esa 10 million marta yuklab olingan va 22 ming sharhni o'z ichiga oladi.
Ko'rib chiqilgan barcha qo'shimchalar bitta hujumchilar jamoasi tomonidan tayyorlangan deb taxmin qilinadi, chunki barchasida maxfiy ma'lumotlarni, shuningdek, umumiy dizayn elementlarini va takroriy kodni tarqatish va qo'lga olishni tashkil qilishning odatiy sxemasi. bilan zararli kodlar Chrome do'koni katalogiga joylashtirilgan va zararli harakatlar haqida bildirishnoma yuborilgandan keyin allaqachon o'chirilgan. Ko'pgina zararli qo'shimchalar turli xil mashhur qo'shimchalar, jumladan, qo'shimcha brauzer xavfsizligini ta'minlash, qidiruv maxfiyligini oshirish, PDF formatini o'zgartirish va formatni o'zgartirishga qaratilgan funksiyalarni nusxalashdi.
Qo‘shimcha dastur ishlab chiquvchilari birinchi navbatda Chrome do‘konida zararli kodsiz toza versiyani joylashtirdilar, ekspert tekshiruvidan o‘tdilar va o‘rnatishdan so‘ng zararli kodni yuklagan yangilanishlardan biriga o‘zgarishlar kiritdilar. Zararli faoliyat izlarini yashirish uchun tanlab javob berish usuli ham qo‘llanilgan – birinchi so‘rov zararli yuklab olishni, keyingi so‘rovlar esa shubhali ma’lumotlarni qaytardi.
Zararli qo'shimchalar tarqalishining asosiy usullari professional ko'rinishdagi saytlarni targ'ib qilish (quyidagi rasmda bo'lgani kabi) va tashqi saytlardan kodni keyinchalik yuklab olish uchun tekshirish mexanizmlarini chetlab o'tib, Chrome internet-do'koniga joylashtirishdir. Qo'shimchalarni faqat Chrome internet-do'konidan o'rnatish bo'yicha cheklovlarni chetlab o'tish uchun tajovuzkorlar Chromium-ning alohida yig'ilishlarini oldindan o'rnatilgan qo'shimchalar bilan tarqatishdi va ularni tizimda allaqachon mavjud bo'lgan reklama ilovalari (Adware) orqali o'rnatdilar. Tadqiqotchilar moliya, ommaviy axborot vositalari, tibbiyot, farmatsevtika, neft-gaz va savdo kompaniyalari, shuningdek, ta’lim va davlat muassasalarining 100 ta tarmog‘ini tahlil qilishdi va ularning deyarli barchasida zararli qo‘shimchalar mavjudligi izlarini aniqladilar.
Zararli qo'shimchalarni tarqatish kampaniyasi davomida, ko'proq , mashhur saytlar bilan kesishgan (masalan, gmaille.com, youtubeunblocked.net va boshqalar) yoki ilgari mavjud domenlar uchun yangilanish muddati tugaganidan keyin ro'yxatdan o'tgan. Ushbu domenlar zararli faoliyatni boshqarish infratuzilmasida va foydalanuvchi ochgan sahifalar kontekstida bajarilgan zararli JavaScript qo'shimchalarini yuklab olish uchun ham ishlatilgan.
Tadqiqotchilar Galcomm domenini ro'yxatga oluvchi bilan fitna uyushtirganlikda gumon qilishdi, unda 15 ming zararli faoliyat uchun domenlar ro'yxatga olingan (ushbu registrator tomonidan chiqarilgan barcha domenlarning 60 foizi), ammo Galcomm vakillari Ushbu taxminlar shuni ko'rsatdiki, ro'yxatga olingan domenlarning 25 foizi allaqachon o'chirilgan yoki Galcomm tomonidan chiqarilmagan, qolganlari deyarli barchasi faol bo'lmagan parklangan domenlardir. Galcomm vakillari, shuningdek, hisobot ommaga oshkor bo‘lgunga qadar ular bilan hech kim aloqaga chiqmagani va ular uchinchi tomondan zararli maqsadlarda foydalanilgan domenlar ro‘yxatini olgani va hozirda ular bo‘yicha o‘z tahlillarini o‘tkazayotgani haqida xabar berishdi.
Muammoni aniqlagan tadqiqotchilar zararli qo'shimchalarni yangi rootkit bilan solishtirishdi - ko'plab foydalanuvchilarning asosiy faoliyati brauzer orqali amalga oshiriladi, ular orqali ular umumiy hujjatlarni saqlash, korporativ axborot tizimlari va moliyaviy xizmatlarga kirishadi. Bunday sharoitda tajovuzkorlar uchun to'liq rootkitni o'rnatish uchun operatsion tizimni to'liq buzish yo'llarini izlashning ma'nosi yo'q - zararli brauzer plaginini o'rnatish va maxfiy ma'lumotlar oqimini boshqarish ancha oson. bu. Tranzit ma'lumotlarini kuzatishdan tashqari, plagin mahalliy ma'lumotlarga, veb-kameraga yoki joylashuvga kirish uchun ruxsat so'rashi mumkin. Amaliyot shuni ko'rsatadiki, ko'pchilik foydalanuvchilar so'ralgan ruxsatlarga e'tibor bermaydilar va 80 ta mashhur qo'shimchalarning 1000 foizi barcha qayta ishlangan sahifalar ma'lumotlariga kirishni so'rashadi.
Manba: opennet.ru