警醒保安公司
假设所有考虑的添加都是由一组攻击者准备的,因为在所有
插件开发人员首先在 Chrome 商店中发布了一个没有恶意代码的干净版本,接受了同行评审,然后在安装后加载恶意代码的更新之一中添加了更改。 为了隐藏恶意活动的痕迹,还使用了选择性响应技术 - 第一个请求返回恶意下载,后续请求返回不可疑的数据。
恶意插件传播的主要方式是通过推广专业外观的网站(如下图所示)和放置在 Chrome Web Store 中,绕过随后从外部网站下载代码的验证机制。 为了绕过只能从 Chrome Web Store 安装附加组件的限制,攻击者分发了带有预安装附加组件的独立 Chromium 程序集,并通过系统中已有的广告应用程序 (Adware) 安装它们。 研究人员分析了 100 个金融、媒体、医疗、制药、石油和天然气、贸易公司以及教育和政府机构的网络,发现几乎所有网络都存在恶意加载项的痕迹。
在分发恶意插件的活动中,超过
研究人员怀疑与 Galcomm 域名注册商共谋,其中注册了 15 个用于恶意活动的域名(占该注册商颁发的所有域名的 60%),但 Galcomm 代表
发现该问题的研究人员将恶意插件与新的 rootkit 进行了比较——许多用户的主要活动是通过浏览器进行的,通过浏览器访问共享文档存储、企业信息系统和金融服务。 在这种情况下,攻击者寻找完全破坏操作系统的方法来安装成熟的 rootkit 是没有意义的 - 安装恶意浏览器插件并通过以下方式控制机密数据流要容易得多它。 除了监控交通数据外,该附加组件还可以请求访问本地数据、网络摄像头或位置的权限。 实践表明,大多数用户并不关注所请求的权限,并且 80 个流行插件中的 1000% 请求访问所有已处理页面的数据。
来源: opennet.ru