През миналата седмица ви информирахме за открита от компанията за киберзащита Awake Security кампания (или поредица от кампании), насочени към потребителите на Google Chrome. Става дума за целенасочени действия от неизвестни страни, които разпространяват зловредни разширения за браузъра, които следят страниците, които те посещават, крадат и разпращат информация към контролните сървъри на престъпниците, пренасочват жертвите си към зловредни страници и код. След своето разкритие, Awake публикуваха и обширен доклад за проучванията си, предоставяйки повече информация за начините, по които престъпниците успяват да подлъжат потребителите, както и защитите, инсталирани в крайните точки, мрежите и контролите в Google Chrome. Освен това, те дават повече информация за самите приставки, които в първоначалния им репортаж бяха представени с Google ID-тата им за магазина на Chrome.
През последните три месеца, специалистите от компанията идентифицират 111 зловредни разширения за Chrome, свалени близо 33 милиона пъти. Общото между сайтовете и сървърите зад тези разширения е името на компанията, която е регистрирала домейните, с които са свързани те – сенчеста израелска компания с името Galcomm – домейнов регистратор, който нарочно или не, е дом на повече зловредни сайтове, отколкото на нормални страници.
Една от основните причини тези кампании да са толкова успешни се крие в хитър метод за избягване на засичане от антивирусните защити, репутационни сайтове, онлайн скенери и подобни. Ако зловредния сайт, свързан с разширенията засече, че към него е изпратена заявка от дейта център, уеб хостинг услуга, транзитна мрежа, прокси или VPN, пред направил заявката се представя безобидна страница. Ако обаче заявката идва от обикновена широкколентова връзка, кабелна, мобилна или сходна тип мрежа с фиксирана линия, то тогава пред жертвата се представя зловредната страница.
Що се отнася до подлъгването на защитите на магазина на Chrome, то авторите на кампаниите подхождат по различни начини. Така например, някои от тях качват в Chrome Store самостоятелни пакети, съдържащи версия на Chromium с предварително инсталирано зловредното разширение.
„Поради това, че повечето потребители не правят разлика между Chrome и Chromium, когато биват подканени да направят новия браузър да е браузъра по подразбиране на системата, те често се съгласяват – по този начин те правят основен браузъра, който продължава да зарежда зловредни разширения от други ресурси, свързани с GalComm“, посочват Awake. Сред някои от другите методи на доставка на приставките са чрез PUP (Potentially Unwanted Programs) приложения и адуер, както и изпращане към магазина на безвредно изглеждащо разширение, което става зловредно с последвал ъпдейт.
Що се отнася до самите разширения, както беше посочено в първоначалния доклад на Awake, става дума основно за такива, които рекламират, че предлагат защита от зловредни страници и сигурност, както и файлови конвертори (списък на приставките може да видите тук). Както и посочват специалистите, зловредните разширения могат да се познаят по няколко основни маркера, сред които са:
– голяма инсталационна база, независимо от това, че идват от компания, която е неизвестна или слабо известна;
– множеството положителни ревюта, които са преобладаващи;
– макар и наскоро добавени в магазина, те имат доста голяма инсталационна база.
И независимо от това, че вероятно немалко от свалянията са фалшиви – направени с единствената цел да ги направят популярни, Awake Security смятат, че жертвите им не са много по-малко, а може даже много повече, тъй като тези 33 милиона сваляния се отнасят единствено за магазина на Chrome към началото на май, а заедно с това, едва половината от откритите от компанията зловредни разширения са от официалния магазин, а останалите идват по други начини до крайните точки.
Повече за откритията на компанията, може да откриете тук (pdf).
