警醒保安公司 关于识别 Google Chrome,将机密用户数据发送到外部服务器。 这些附加组件还可以截取屏幕截图、读取剪贴板的内容、分析 Cookie 中访问令牌的存在以及拦截 Web 表单中的输入。 总体而言,已识别的恶意加载项在 Chrome Web Store 中的下载量总计为 32.9 万次,其中最受欢迎的(搜索管理器)下载量为 10 万次,包含 22 万条评论。
假设所有考虑的添加都是由一组攻击者准备的,因为在所有 用于分发和组织机密数据捕获以及常见设计元素和重复代码的典型方案。 包含恶意代码的内容被放置在 Chrome 应用商店目录中,并在发送有关恶意活动的通知后已被删除。 许多恶意加载项复制了各种流行加载项的功能,包括旨在提供额外浏览器安全性、增强搜索隐私、PDF 转换和格式转换的加载项。
插件开发人员首先在 Chrome 商店中发布了一个没有恶意代码的干净版本,接受了同行评审,然后在安装后加载恶意代码的更新之一中添加了更改。 为了隐藏恶意活动的痕迹,还使用了选择性响应技术 - 第一个请求返回恶意下载,后续请求返回不可疑的数据。
恶意插件传播的主要方式是通过推广专业外观的网站(如下图所示)和放置在 Chrome Web Store 中,绕过随后从外部网站下载代码的验证机制。 为了绕过只能从 Chrome Web Store 安装附加组件的限制,攻击者分发了带有预安装附加组件的独立 Chromium 程序集,并通过系统中已有的广告应用程序 (Adware) 安装它们。 研究人员分析了 100 个金融、媒体、医疗、制药、石油和天然气、贸易公司以及教育和政府机构的网络,发现几乎所有网络都存在恶意加载项的痕迹。
在分发恶意插件的活动中,超过 、与热门网站(例如 gmaille.com、youtubeunblocked.net 等)交叉或在先前现有域的续订期到期后注册。 这些域还用于恶意活动管理基础设施,并下载在用户打开的页面上下文中执行的恶意 JavaScript 插入。
研究人员怀疑与 Galcomm 域名注册商共谋,其中注册了 15 个用于恶意活动的域名(占该注册商颁发的所有域名的 60%),但 Galcomm 代表 这些假设表明,所列出的域名中有 25% 已被删除或不是由 Galcomm 颁发的,其余的几乎都是不活跃的停放域名。 Galcomm 的代表还表示,在报告公开披露之前没有人联系他们,他们从第三方收到了一份用于恶意目的的域名列表,目前正在对其进行分析。
发现该问题的研究人员将恶意插件与新的 rootkit 进行了比较——许多用户的主要活动是通过浏览器进行的,通过浏览器访问共享文档存储、企业信息系统和金融服务。 在这种情况下,攻击者寻找完全破坏操作系统的方法来安装成熟的 rootkit 是没有意义的 - 安装恶意浏览器插件并通过以下方式控制机密数据流要容易得多它。 除了监控交通数据外,该附加组件还可以请求访问本地数据、网络摄像头或位置的权限。 实践表明,大多数用户并不关注所请求的权限,并且 80 个流行插件中的 1000% 请求访问所有已处理页面的数据。
来源: opennet.ru