Công Ty An Ninh Tỉnh Thức
Người ta cho rằng tất cả các tiện ích được xem xét đã được chuẩn bị bởi một nhóm những kẻ tấn công, vì trong tất cả
Đầu tiên, các nhà phát triển tiện ích bổ sung đã đăng phiên bản sạch không có mã độc lên Cửa hàng Chrome, trải qua quá trình xem xét và sau đó thêm các thay đổi vào một trong các bản cập nhật đã tải mã độc sau khi cài đặt. Để che giấu dấu vết của hoạt động độc hại, kỹ thuật phản hồi có chọn lọc cũng được sử dụng - ở yêu cầu đầu tiên, một bản tải xuống độc hại đã được phát hành và ở các yêu cầu tiếp theo, dữ liệu không đáng ngờ đã được đưa ra.
Quảng cáo các trang web có giao diện chuyên nghiệp (như trong hình bên dưới) và vị trí trong Cửa hàng Chrome trực tuyến, bỏ qua các cơ chế xác minh để tải xuống mã tiếp theo từ các trang web bên ngoài, đã được xác định là những cách chính để phát tán các tiện ích bổ sung độc hại. Để phá vỡ các hạn chế chỉ cài đặt tiện ích bổ sung từ Cửa hàng Chrome trực tuyến, những kẻ tấn công đã phân phối các bản dựng Chromium riêng lẻ với các tiện ích bổ sung được cài đặt sẵn và cũng được cài đặt thông qua các ứng dụng quảng cáo (Phần mềm quảng cáo) đã có trong hệ thống. Các nhà nghiên cứu đã phân tích 100 mạng lưới của các công ty tài chính, truyền thông, y tế, dược phẩm, dầu khí và thương mại, cũng như các tổ chức giáo dục và chính phủ, và hầu hết tất cả đều tiết lộ dấu vết của các tiện ích bổ sung độc hại được đề cập.
Trong suốt chiến dịch phần mềm độc hại, hơn
Các nhà nghiên cứu nghi ngờ có sự thông đồng với công ty đăng ký tên miền Galcomm, trong đó 15 tên miền đã được đăng ký cho các hành động độc hại (60% trong số tất cả các tên miền do công ty đăng ký này phát hành), nhưng đại diện của Galcomm
Các nhà nghiên cứu đã xác định vấn đề so sánh các tiện ích bổ sung độc hại với một rootkit mới - hoạt động chính của nhiều người dùng được thực hiện thông qua một trình duyệt mà qua đó truy cập được thực hiện vào kho lưu trữ tài liệu chung, hệ thống thông tin công ty và dịch vụ tài chính. Trong những điều kiện như vậy, thật vô nghĩa khi những kẻ tấn công tìm cách thỏa hiệp hoàn toàn hệ điều hành để cài đặt một rootkit chính thức - việc cài đặt một tiện ích bổ sung cho trình duyệt độc hại và kiểm soát các luồng dữ liệu bí mật đi qua nó sẽ dễ dàng hơn nhiều. Ngoài việc kiểm soát dữ liệu chuyển tuyến, tiện ích bổ sung có thể yêu cầu quyền truy cập dữ liệu cục bộ, webcam, vị trí. Như thực tế cho thấy, hầu hết người dùng không chú ý đến các quyền được yêu cầu và 80% trong số 1000 tiện ích bổ sung phổ biến yêu cầu quyền truy cập vào dữ liệu của tất cả các trang được xử lý.
Nguồn: opennet.ru