شرکت امنیت سایبری امنیت بیدار اخیراً رونمایی شده است که به گوگل هشدار داده بود وجود 111 افزونه مخرب Chrome ، که 32,9 میلیون بار بارگیری شده اند و گوگل اخیراً از آن گزارش داده است 106 مورد از این برنامه های افزودنی دیگر در دسترس نیستند در فروشگاه وب Chrome و موارد استفاده شده غیرفعال شده است.
این کشف ماهها پس از آن انجام شد که Duo Security گزارش داد که 500 برنامه افزودنی از ژانویه 2019 به طور مخفیانه داده های مرور میلیون ها کاربر را بارگیری کرده است.
طبق امنیت بیدار ، این افزونه ها احتمالاً توسط یک توسعه دهنده واحد ساخته شده اند. وجه مشترک همه آنها این است که همه فعالیتهای آنهاست به GalComm مرتبط هستند، یک ثبت کننده دامنه اینترنتی.
با این حال، Awake Security می گوید GalComm عقب نیست از این کارزار عالی ، اما او هنوز باید می دانست که چه اتفاقی می افتد.
"از 26.079،15.160 دامنه قابل دسترسی ثبت شده توسط GalComm ، 60،XNUMX دامنه ، یا تقریباً XNUMX٪ ، مخرب یا مشکوک هستند. ما همچنین شواهدی را پیدا کرده ایم که این دامنه ها برای میزبانی از بدافزارهای سنتی و ابزارهای نظارت بر مرورگر استفاده می شوند. "
از طرف خود ، صاحب ثبت اسرائیلی ، موشه فاگل ، گفت:
"GalComm درگیر نیست و هیچگونه وسیله جانبی برای فعالیتهای مخرب نیست." با این حال ، گفته شد که بیشتر این نام های دامنه غیرفعال هستند و تحقیقات در مورد بقیه ادامه خواهد یافت.
علاوه بر این، اکثر این برنامه های افزودنی از گرافیک یکسانی برخوردار هستند و همان پایه کد. آنها به عنوان مثال خدماتی مانند جلوگیری از ایجاد وب سایت های خطرناک یا تبدیل پرونده را ارائه می دهند.
به نوبه خود، محققان امنیت بیدار می گویند ، برنامه های افزودنی جلوگیری از بدافزار بی اثر هستند. پس از آزمایش یکی از آنها ، ByteFence ، دریافتند که چندین سایت مخرب را به عنوان "امن" طبقه بندی کرده است.
ByteFence نسخه اصلاح شده پسوند دیگری به نام Reason Core Security است.
محققان می گویند: "ما در طی این تحقیق متوجه شدیم كه این نرم افزار با بدافزار در طبیعت ارتباط دارد."
از این بدتر ، "اغلب اتفاق می افتد که یک نسخه سفارشی از بسته مستقل Chromium با پسوندهای مخربی که قبلاً گنجانده شده اند ، نصب شود"
این روش به مهاجم اجازه می دهد تا فروشگاه Chrome را کاملاً دور بزند و از هرگونه کنترل امنیتی خودداری کنید. از آنجا که اکثر کاربران تفاوت بین Chrome و Chromium را تشخیص نمی دهند ، هنگامی که از آنها خواسته می شود مرورگر جدید را به عنوان مرورگر پیش فرض خود قرار دهند ، آنها اغلب این کار را می کنند ، مرورگر اصلی خود را به یک مرورگر تبدیل می کنند که با خوشحالی بارگیری برنامه های افزودنی مخرب را از سایر منابع مرتبط با GalComm ادامه خواهد داد.
علاوه بر این ، تیم های امنیتی شرکت به خوبی تأیید می کنند که پسوندهای مخرب مرورگر خطر قابل توجهی ایجاد می کنند ، به ویژه اینکه زندگی دیجیتالی ما اکنون به طور عمده در مرورگر انجام می شود.
علاوه بر این، این تهدید تعدادی از مکانیسم های امنیتی سنتی را دور می زند، از جمله راه حل های امنیتی برای نقاط دسترسی ، موتورهای معروف دامنه ، سرورهای پروکسی وب و جعبه های شن و ماسه مبتنی بر ابر.
بنابراین، تیم های امنیتی باید دائما به دنبال تاکتیک ها ، تکنیک ها و روش ها باشند برای جبران خلأهای فنی "، شرکت توصیه می کند.
تاکنون ، Google 106 مورد از 111 برنامه افزودنی مخرب را حذف کرده است.
اسکات وستوور ، سخنگوی گوگل گفت: "هنگامی که به ما افزودنیهای Web Store هشدار داده می شود که خط مشی های ما را نقض می کنند ، ما اقدام می کنیم و از این حوادث به عنوان ماده آموزشی برای بهبود تجزیه و تحلیل خودکار و دستی استفاده می کنیم."
وی افزود: "ما برای یافتن پسوندها با استفاده از فنون ، كد و رفتار مشابه اسكن های منظمی انجام می دهیم."
اما بیشتر کاربران شناسایی پسوندهای مخرب برای آنها مشکل است زیرا تمایل دارند تعداد نسبتاً زیادی کاربر داشته باشند ، درصورتی که توسط مارک های ناشناخته توسعه یافته اند.
آنها همچنین کمی مورد انتقاد قرار می گیرند. برعکس ، آنها نمرات خوبی می گیرند و بسیاری از نظرات نادرست کاربران اینترنت را حساب می کنند. همچنین ، بر اساس Awake Security ، تعداد بارگیری ها احتمالاً متورم شده است تا کاربران را ترغیب به نصب آنها کند.
در نهایت، اگر می خواهید در مورد آن بیشتر بدانید در مورد برنامه های افزودنی کشف شده ، می توانید جزئیات را با رفتن به پیوند زیر بررسی کنید.
Fuente: https://awakesecurity.com
اولین کسی باشید که نظر