Công Ty An Ninh Tỉnh Thức về xác định tới Google Chrome, gửi dữ liệu bí mật của người dùng tới các máy chủ bên ngoài. Bao gồm các tiện ích bổ sung có quyền truy cập để tạo ảnh chụp màn hình, đọc nội dung của khay nhớ tạm, phân tích sự hiện diện của mã thông báo truy cập trong Cookie và chặn đầu vào trong các biểu mẫu web. Tổng cộng, các tiện ích bổ sung độc hại được phát hiện có tổng cộng 32.9 triệu lượt tải xuống trong Cửa hàng Chrome trực tuyến và tiện ích bổ sung phổ biến nhất (Trình quản lý tìm kiếm) đã được tải xuống 10 triệu lần và bao gồm 22 bài đánh giá.
Người ta cho rằng tất cả các tiện ích được xem xét đã được chuẩn bị bởi một nhóm những kẻ tấn công, vì trong tất cả một sơ đồ điển hình để phân phối và tổ chức thu thập dữ liệu bí mật, cũng như các yếu tố thiết kế chung và mã lặp đi lặp lại. với mã độc hại đã được đặt trong thư mục Cửa hàng Chrome và đã bị xóa sau khi gửi thông báo về hoạt động độc hại. Nhiều tiện ích bổ sung độc hại đã sao chép chức năng của nhiều tiện ích bổ sung phổ biến khác nhau, bao gồm cả những tiện ích bổ sung nhằm cung cấp khả năng bảo vệ bổ sung cho trình duyệt, cải thiện quyền riêng tư khi tìm kiếm, chuyển đổi PDF và chuyển đổi định dạng.
Đầu tiên, các nhà phát triển tiện ích bổ sung đã đăng phiên bản sạch không có mã độc lên Cửa hàng Chrome, trải qua quá trình xem xét và sau đó thêm các thay đổi vào một trong các bản cập nhật đã tải mã độc sau khi cài đặt. Để che giấu dấu vết của hoạt động độc hại, kỹ thuật phản hồi có chọn lọc cũng được sử dụng - ở yêu cầu đầu tiên, một bản tải xuống độc hại đã được phát hành và ở các yêu cầu tiếp theo, dữ liệu không đáng ngờ đã được đưa ra.
Quảng cáo các trang web có giao diện chuyên nghiệp (như trong hình bên dưới) và vị trí trong Cửa hàng Chrome trực tuyến, bỏ qua các cơ chế xác minh để tải xuống mã tiếp theo từ các trang web bên ngoài, đã được xác định là những cách chính để phát tán các tiện ích bổ sung độc hại. Để phá vỡ các hạn chế chỉ cài đặt tiện ích bổ sung từ Cửa hàng Chrome trực tuyến, những kẻ tấn công đã phân phối các bản dựng Chromium riêng lẻ với các tiện ích bổ sung được cài đặt sẵn và cũng được cài đặt thông qua các ứng dụng quảng cáo (Phần mềm quảng cáo) đã có trong hệ thống. Các nhà nghiên cứu đã phân tích 100 mạng lưới của các công ty tài chính, truyền thông, y tế, dược phẩm, dầu khí và thương mại, cũng như các tổ chức giáo dục và chính phủ, và hầu hết tất cả đều tiết lộ dấu vết của các tiện ích bổ sung độc hại được đề cập.
Trong suốt chiến dịch phần mềm độc hại, hơn , giao nhau với các trang web phổ biến (ví dụ: gmaille.com, youtubeunblocked.net, v.v.) hoặc được đăng ký sau khi hết thời hạn gia hạn cho các miền đã tồn tại trước đó. Các miền này cũng được sử dụng trong cơ sở hạ tầng kiểm soát phần mềm độc hại và để tải xuống các phần chèn JavaScript độc hại được thực thi trong ngữ cảnh của các trang mà người dùng mở.
Các nhà nghiên cứu nghi ngờ có sự thông đồng với công ty đăng ký tên miền Galcomm, trong đó 15 tên miền đã được đăng ký cho các hành động độc hại (60% trong số tất cả các tên miền do công ty đăng ký này phát hành), nhưng đại diện của Galcomm những giả định này và chỉ ra rằng 25% tên miền được liệt kê đã bị xóa hoặc không phải do Galcomm cấp và phần còn lại hầu như là tất cả các tên miền trỏ hướng không hoạt động. Đại diện của Galcomm cũng cho biết trước khi báo cáo được tiết lộ công khai, không có ai liên hệ với họ và họ đã nhận được danh sách các tên miền được sử dụng cho mục đích xấu từ bên thứ ba và hiện đang tiến hành phân tích chúng.
Các nhà nghiên cứu đã xác định vấn đề so sánh các tiện ích bổ sung độc hại với một rootkit mới - hoạt động chính của nhiều người dùng được thực hiện thông qua một trình duyệt mà qua đó truy cập được thực hiện vào kho lưu trữ tài liệu chung, hệ thống thông tin công ty và dịch vụ tài chính. Trong những điều kiện như vậy, thật vô nghĩa khi những kẻ tấn công tìm cách thỏa hiệp hoàn toàn hệ điều hành để cài đặt một rootkit chính thức - việc cài đặt một tiện ích bổ sung cho trình duyệt độc hại và kiểm soát các luồng dữ liệu bí mật đi qua nó sẽ dễ dàng hơn nhiều. Ngoài việc kiểm soát dữ liệu chuyển tuyến, tiện ích bổ sung có thể yêu cầu quyền truy cập dữ liệu cục bộ, webcam, vị trí. Như thực tế cho thấy, hầu hết người dùng không chú ý đến các quyền được yêu cầu và 80% trong số 1000 tiện ích bổ sung phổ biến yêu cầu quyền truy cập vào dữ liệu của tất cả các trang được xử lý.
Nguồn: opennet.ru