L'empresa de ciberseguretat Awake Security va donar a conèixer fa poc que havia alertat Google sobre l'existència de 111 extensions malicioses de Chrome, que s'han descarregat 32,9 de vegades i de les quals Google va informar recentment que 106 d'aquestes extensions ja no estan disponibles a Chrome Web Store i que les que estaven en ús s'han deshabilitat.
El descobriment es produeix mesos després que Duo Security informés que 500 extensions han descarregat en secret dades de navegació de milions d'usuaris des de gener de 2019.
Segons Awake Security, aquestes extensions probablement van ser desenvolupades per un sol desenvolupador. El que tots tenen en comú és que totes les seves activitats estan vinculades a GalComm, Un registrador de dominis d'Internet.
No obstant això, Awake Security diu que GalComm no està darrere d'aquesta gran campanya, però encara hauria d'haver sabut el que estava succeint.
"Dels 26.079 dominis accessibles registrats per GalComm, 15.160 dominis, o gairebé el 60%, són maliciosos o sospitosos. També hem trobat i presentat evidència que aquests dominis es fan servir per allotjar malware tradicional i eines de monitorització de el navegador ", va dir la companyia de seguretat.
Per la seva banda, el propietari de l'registrador israelià, Moshe Fogel, va dir:
«GalComm no està involucrat i no és un accessori per a cap activitat maliciosa». No obstant això, va dir que la majoria d'aquests noms de domini estaven inactius i que continuaria investigant la resta.
A més, la majoria d'aquestes extensions comparteixen els mateixos gràfics i la mateixa base de codi. Ofereixen, per exemple, serveis com a prevenció contra llocs web perillosos o conversió d'arxius.
Per la seva banda, les extensions de prevenció de malware són ineficaços, assenyalen els investigadors de Awake Security. Després de realitzar proves en un d'ells, ByteFence, van descobrir que classificava diversos llocs maliciosos com «segurs».
ByteFence és la versió renovada d'una altra extensió anomenada Reason Core Security.
«Vam descobrir que estava associat amb malware a la naturalesa durant aquesta investigació», diuen els investigadors.
Pitjor encara, «sovint passa que s'instal·la una versió personalitzada d'un paquet Chromium independent amb extensions malicioses ja incloses»
Aquesta tècnica permet a l'atacant evitar completament la botiga Chrome i evadir qualsevol control de seguretat. Atès que la majoria dels usuaris no reconeixen la diferència entre Chrome i Chromium, quan se'ls demana que facin que el nou navegador sigui el seu navegador per defecte, sovint ho fan, convertint el seu navegador principal en un navegador que feliçment continuarà carregant-extensions malicioses d' altres fonts relacionades amb GalComm.
A més, els equips de seguretat corporatius farien bé en reconèixer que les extensions malicioses d'el navegador representen un risc significatiu, especialment perquè la nostra vida digital ara es porta a terme en gran mesura en el navegador.
A més, aquesta amenaça evita una sèrie de mecanismes de seguretat tradicionals, Que inclouen solucions de seguretat de punts d'accés, motors de reputació de domini, servidors proxy web i entorns limitats basats en el núvol.
Per tant, els equips de seguretat han de buscar constantment tàctiques, tècniques i procediments per compensar les bretxes tecnològiques ", aconsella la companyia.
Fins al moment, Google ha eliminat 106 de 111 extensions malicioses.
«Quan se'ns alerta sobre les extensions de la Botiga web que violen les nostres polítiques, prenem mesures i utilitzem aquests incidents com a material de capacitació per millorar el nostre anàlisi automàtic i manual», va dir Scott Westover, portaveu de Google.
«Fem escaneos regulars per trobar extensions usant tècniques, codis i comportaments similars», afegeix.
Però a la majoria dels usuaris els resulta difícil identificar extensions malicioses perquè tendeixen a tenir un nombre relativament gran d'usuaris, quan van ser desenvolupades per marques desconegudes.
També són poc criticats. Per contra, obtenen bones notes i compten moltes opinions falses dels usuaris d'Internet. A més, la quantitat de descàrregues probablement s'ha inflat per atraure els usuaris a instal·lar-les, segons Awake Security.
Finalment, si vols conèixer més a l'respecte sobre les extensions que van ser descobertes, pots consultar els detalls dirigint-te a l'enllaç.
font: https://awakesecurity.com