警醒保安公司 關於識別 Google Chrome,將機密使用者資料傳送至外部伺服器。 這些附加元件還可以截取螢幕截圖、讀取剪貼簿的內容、分析 Cookie 中存取權杖的存在以及攔截 Web 表單中的輸入。 總體而言,已識別的惡意加載項在 Chrome Web Store 中的下載量總計為 32.9 萬次,其中最受歡迎的(搜尋管理器)下載量為 10 萬次,包含 22 則評論。
假設所有考慮的添加都是由一組攻擊者準備的,因為在所有 用於分發和組織機密資料擷取以及常見設計元素和重複程式碼的典型方案。 包含惡意程式碼的內容被放置在 Chrome 應用程式商店目錄中,並在發送有關惡意活動的通知後已刪除。 許多惡意加載項複製了各種流行加載項的功能,包括旨在提供額外瀏覽器安全性、增強搜尋隱私、PDF 轉換和格式轉換的加載項。
插件開發人員首先在 Chrome 商店中發布了一個沒有惡意程式碼的乾淨版本,接受了同行評審,然後在安裝後加載惡意程式碼的更新之一中添加了更改。 為了隱藏惡意活動的痕跡,還使用了選擇性回應技術 - 第一個請求返回惡意下載,後續請求返回不可疑的資料。
惡意外掛程式傳播的主要方式是透過推廣專業外觀的網站(如下圖所示)並放置在 Chrome Web Store 中,繞過隨後從外部網站下載程式碼的驗證機制。 為了繞過只能從 Chrome Web Store 安裝附加元件的限制,攻擊者分發了帶有預安裝附加元件的獨立 Chromium 組件,並透過系統中已有的廣告應用程式 (Adware) 安裝它們。 研究人員分析了 100 個金融、媒體、醫療、製藥、石油和天然氣、貿易公司以及教育和政府機構的網絡,發現幾乎所有網路都存在惡意加載項的痕跡。
在分發惡意插件的活動中,超過 、與熱門網站(例如 gmaille.com、youtubeunblocked.net 等)交叉或在先前現有網域的續約期到期後註冊。 這些網域也用於惡意活動管理基礎設施,並下載在使用者開啟的頁面上下文中執行的惡意 JavaScript 插入。
研究人員懷疑與 Galcomm 域名註冊商共謀,其中註冊了 15 個用於惡意活動的域名(佔該註冊商頒發的所有域名的 60%),但 Galcomm 代表 這些假設表明,所列出的網域中有 25% 已被刪除或不是由 Galcomm 頒發的,其餘的幾乎都是不活躍的停放網域。 Galcomm 的代表還表示,在報告公開披露之前沒有人聯繫他們,他們從第三方收到了一份用於惡意目的的域名列表,目前正在對其進行分析。
發現該問題的研究人員將惡意插件與新的 rootkit 進行了比較——許多用戶的主要活動是透過瀏覽器進行的,透過瀏覽器存取共享文件儲存、企業資訊系統和金融服務。 在這種情況下,攻擊者尋找完全破壞作業系統的方法來安裝成熟的 rootkit 是沒有意義的 - 安裝惡意瀏覽器插件並透過以下方式控制機密資料流要容易得多它。 除了監控交通數據外,該附加元件還可以請求存取本地數據、網路攝影機或位置的權限。 實踐表明,大多數用戶並不關注所要求的權限,並且 80 個流行插件中的 1000% 請求訪問所有已處理頁面的資料。
來源: opennet.ru