Virksomheden cybersikkerhed Awake Security afsløret for nylig der havde advaret Google om eksistensen af 111 ondsindede Chrome-udvidelser, der er downloadet 32,9 millioner gange, og hvoraf Google for nylig rapporterede det 106 af disse udvidelser er ikke længere tilgængelige i Chrome Webshop, og at de, der var i brug, er blevet deaktiveret.
Opdagelsen kommer måneder efter, at Duo Security rapporterede, at 500 udvidelser i hemmelighed har downloadet browserdata fra millioner af brugere siden januar 2019.
Ifølge Awake Security, disse udvidelser blev sandsynligvis udviklet af en enkelt udvikler. Fælles for dem alle er, at alle deres aktiviteter er knyttet til GalComm, en internetdomæneregistrator.
Imidlertid Awake Security siger, at GalComm ikke er bagud af denne store kampagne, men han skulle stadig have vidst, hvad der skete.
“Af de 26.079 tilgængelige domæner, der er registreret af GalComm, er 15.160 domæner eller næsten 60% ondsindede eller mistænkelige. Vi har også fundet og præsenteret bevis for, at disse domæner bruges til at være vært for traditionelle malware- og browserovervågningsværktøjer, ”sagde sikkerhedsfirmaet.
For sin del sagde ejeren af den israelske registrator, Moshe Fogel:
"GalComm er ikke involveret og er ikke et tilbehør til nogen ondsindet aktivitet." Det sagde imidlertid, at de fleste af disse domænenavne var inaktive, og at det ville fortsætte med at undersøge resten.
Derudover de fleste af disse udvidelser deler den samme grafik og den samme kodebase. De tilbyder for eksempel tjenester såsom forebyggelse mod farlige websteder eller filkonvertering.
For sin del, Udvidelser til forebyggelse af malware er ineffektive, siger forskere i Awake Security. Efter at have testet en af dem, ByteFence, fandt de, at den klassificerede flere ondsindede websteder som "sikre".
ByteFence er den fornyede version af en anden udvidelse kaldet Reason Core Security.
"Vi opdagede, at det var forbundet med malware i naturen under denne undersøgelse," siger forskerne.
Værre endnu, "det sker ofte, at en tilpasset version af en enkeltstående Chromium-pakke er installeret med ondsindede udvidelser, der allerede er inkluderet"
Denne teknik giver angriberen mulighed for helt at omgå Chrome-butikken og undgå enhver sikkerhedskontrol. Da de fleste brugere ikke genkender forskellen mellem Chrome og Chromium, når de bliver bedt om at gøre den nye browser til deres standardbrowser, gør de det ofte og omdanner deres hovedbrowser til en browser, der med glæde fortsætter med at indlæse ondsindede udvidelser fra andre GalComm-relaterede kilder .
Derudover ville virksomhedens sikkerhedsteam gøre det godt at erkende, at ondsindede browserudvidelser udgør en betydelig risiko, især da vores digitale liv nu stort set udføres i browseren.
Derudover denne trussel omgår en række traditionelle sikkerhedsmekanismer, inklusive sikkerhedsløsninger til adgangspunkter, domæneomdømmotorer, web-proxyservere og skybaserede sandkasser.
Derfor, sikkerhedsteam skal konstant kigge efter taktik, teknikker og procedurer at kompensere for teknologiske huller ”, rådgiver virksomheden.
Indtil videre har Google fjernet 106 ud af 111 ondsindede udvidelser.
"Når vi advares om Web Store-udvidelser, der overtræder vores politikker, tager vi skridt og bruger disse hændelser som træningsmateriale til at forbedre vores automatiske og manuelle analyse," sagde Scott Westover, Google-talsmand.
"Vi foretager regelmæssige scanninger for at finde udvidelser ved hjælp af lignende teknikker, kode og adfærd," tilføjer han.
Men de fleste brugere har svært ved at identificere ondsindede udvidelser, fordi de har tendens til at have et relativt stort antal brugere, da de blev udviklet af ukendte mærker.
De er også lidt kritiseret. Tværtimod får de gode karakterer og tæller mange falske meninger fra internetbrugere. Antallet af downloads er sandsynligvis også oppustet for at lokke brugerne til at installere dem, ifølge Awake Security.
Endelig hvis du vil vide mere om det Om de udvidelser, der blev opdaget, kan du kontrollere detaljerne ved at gå til følgende link.
kilde: https://awakesecurity.com