警醒保安公司
假設所有考慮的添加都是由一組攻擊者準備的,因為在所有
插件開發人員首先在 Chrome 商店中發布了一個沒有惡意程式碼的乾淨版本,接受了同行評審,然後在安裝後加載惡意程式碼的更新之一中添加了更改。 為了隱藏惡意活動的痕跡,還使用了選擇性回應技術 - 第一個請求返回惡意下載,後續請求返回不可疑的資料。
惡意外掛程式傳播的主要方式是透過推廣專業外觀的網站(如下圖所示)並放置在 Chrome Web Store 中,繞過隨後從外部網站下載程式碼的驗證機制。 為了繞過只能從 Chrome Web Store 安裝附加元件的限制,攻擊者分發了帶有預安裝附加元件的獨立 Chromium 組件,並透過系統中已有的廣告應用程式 (Adware) 安裝它們。 研究人員分析了 100 個金融、媒體、醫療、製藥、石油和天然氣、貿易公司以及教育和政府機構的網絡,發現幾乎所有網路都存在惡意加載項的痕跡。
在分發惡意插件的活動中,超過
研究人員懷疑與 Galcomm 域名註冊商共謀,其中註冊了 15 個用於惡意活動的域名(佔該註冊商頒發的所有域名的 60%),但 Galcomm 代表
發現該問題的研究人員將惡意插件與新的 rootkit 進行了比較——許多用戶的主要活動是透過瀏覽器進行的,透過瀏覽器存取共享文件儲存、企業資訊系統和金融服務。 在這種情況下,攻擊者尋找完全破壞作業系統的方法來安裝成熟的 rootkit 是沒有意義的 - 安裝惡意瀏覽器插件並透過以下方式控制機密資料流要容易得多它。 除了監控交通數據外,該附加元件還可以請求存取本地數據、網路攝影機或位置的權限。 實踐表明,大多數用戶並不關注所要求的權限,並且 80 個流行插件中的 1000% 請求訪問所有已處理頁面的資料。
來源: opennet.ru