Kompanija za cyber sigurnost Awake Security je nedavno predstavljen koji je upozorio Google postojanje 111 zlonamjernih Chromeovih proširenja, koji su preuzeti 32,9 miliona puta i o kojima je Google nedavno izvijestio 106 od ovih proširenja više nisu dostupna u Chrome web trgovini i da su one koje su se koristile onemogućene.
Otkriće dolazi nekoliko mjeseci nakon što je Duo Security izvijestio da je 500 ekstenzija tajno preuzelo podatke o pregledavanju od miliona korisnika od januara 2019.
Prema Awake Security, ova proširenja je vjerovatno razvio jedan programer. Svima im je zajedničko da su sve njihove aktivnosti su povezani sa GalComm, registrator internetske domene.
Međutim, Awake Security kaže da GalComm ne zaostaje ove sjajne kampanje, ali svejedno je trebao znati što se događa.
„Od 26.079 pristupačnih domena koje je registrirao GalComm, 15.160 domena ili gotovo 60% je zlonamjernih ili sumnjivih. Također smo pronašli i iznijeli dokaze da se ti domeni koriste za hostiranje tradicionalnog malvera i alata za praćenje pregledača “, rekla je sigurnosna kompanija.
Sa svoje strane, vlasnik izraelskog registra, Moshe Fogel, rekao je:
"GalComm nije uključen i nije dodatak bilo kojoj zlonamjernoj aktivnosti." Međutim, rekao je da je većina ovih imena domena neaktivna i da će nastaviti istraživati ostatak.
Takođe, većina ovih proširenja dijeli istu grafiku i istu bazu koda. Oni nude, na primjer, usluge kao što su prevencija od opasnih web stranica ili konverzija datoteka.
Sa druge strane, Proširenja za sprečavanje zlonamjernog softvera su neučinkovita, tvrde istraživači sigurnosti. Nakon testiranja jednog od njih, ByteFence, otkrili su da je nekoliko zlonamjernih web lokacija klasificiralo kao "sigurne".
ByteFence je prerađena verzija drugog proširenja pod nazivom Reason Core Security.
"Otkrili smo da je povezan sa malverom u divljini tokom ove istrage", kažu istraživači.
Još gore, "često se dogodi da se instalira prilagođena verzija samostalnog Chromium paketa sa već uključenim zlonamernim proširenjima"
Ova tehnika omogućava napadaču da u potpunosti zaobiđe Chrome trgovinu i izbjegavajte bilo kakve sigurnosne kontrole. Budući da većina korisnika ne prepoznaje razliku između Chromea i Chromiuma, kada ih se pita da novi preglednik postanu zadani pretraživač, to često čine pretvarajući svoj glavni pretraživač u preglednik koji će rado nastaviti učitavati zlonamjerna proširenja iz drugih izvora povezanih s GalCommom .
Nadalje, timovi korporativne sigurnosti dobro bi prihvatili da zlonamjerna proširenja pregledača predstavljaju značajan rizik, pogotovo jer se naši digitalni životi većinom odvijaju u pregledaču.
Takođe, ova prijetnja zaobilazi niz tradicionalnih sigurnosnih mehanizama, uključujući sigurnosna rješenja za pristupne točke, mehanizme za reputaciju domene, web proxy servere i sandbox-ove zasnovane na oblaku.
Zbog toga, sigurnosni timovi moraju neprestano tražiti taktike, tehnike i postupke kako bi nadoknadili tehnološke praznine ”, savjetuje kompanija.
Do sada je Google uklonio 106 od 111 zlonamjernih proširenja.
"Kada smo upozoreni na proširenja Web trgovine koja krše naša pravila, poduzimamo mjere i koristimo ove incidente kao materijal za obuku kako bismo poboljšali našu automatsku i ručnu analizu", rekao je Scott Westover, glasnogovornik Googlea.
"Redovno skeniramo kako bismo pronašli ekstenzije koristeći slične tehnike, kod i ponašanje", dodaje on.
No, većini korisnika je teško identificirati zlonamjerne ekstenzije jer imaju relativno velik broj korisnika kada su ih razvili nepoznati brendovi.
Oni su takođe malo kritizirani. Suprotno tome, oni dobivaju dobre ocjene i broje puno lažnih mišljenja od korisnika Interneta. Takođe, broj preuzimanja je vjerovatno prenapuhan da bi primamio korisnike da ih instaliraju, navodi Awake Security.
Na kraju, ako želite znati više o tome O otkrivenim ekstenzijama možete provjeriti detalje na sljedećem linku.
Izvor: https://awakesecurity.com