L'entreprise de cybersécurité Awake Security a récemment été dévoilé qui avait alerté Google l'existence de 111 extensions Chrome malveillantes, téléchargés 32,9 millions de fois et dont Google a récemment signalé que 106 de ces extensions ne sont plus disponibles dans Chrome Web Store et que ceux qui étaient en cours d'utilisation ont été désactivés.
La découverte intervient des mois après que Duo Security a signalé que 500 extensions avaient secrètement téléchargé des données de navigation de millions d'utilisateurs depuis janvier 2019.
Selon Awake Security, ces extensions ont probablement été développées par un seul développeur. Ce qu'ils ont tous en commun, c'est que toutes leurs activités sont liés à GalComm, un registraire de domaine Internet.
Toutefois, Awake Security dit que GalComm n'est pas en retard de cette grande campagne, mais il aurait encore dû savoir ce qui se passait.
«Sur les 26.079 15.160 domaines accessibles enregistrés par GalComm, 60 XNUMX domaines, soit près de XNUMX%, sont malveillants ou suspects. Nous avons également trouvé et présenté des preuves que ces domaines sont utilisés pour héberger des logiciels malveillants traditionnels et des outils de surveillance du navigateur », a déclaré la société de sécurité.
Pour sa part, le propriétaire du registraire israélien, Moshe Fogel, a déclaré:
"GalComm n'est pas impliqué et n'est un accessoire d'aucune activité malveillante." Cependant, il a déclaré que la plupart de ces noms de domaine étaient inactifs et qu'il continuerait d'enquêter sur le reste.
En outre, la plupart de ces extensions partagent les mêmes graphiques et la même base de code. Ils offrent, par exemple, des services tels que la prévention contre les sites Web dangereux ou la conversion de fichiers.
Pour sa part, Les extensions de prévention des logiciels malveillants sont inefficaces, note les chercheurs en veille sur la sécurité. Après avoir testé l'un d'entre eux, ByteFence, ils ont constaté qu'il classait plusieurs sites malveillants comme «sûrs».
ByteFence est la version remaniée d'une autre extension appelée Reason Core Security.
"Nous avons découvert qu'il était associé à des logiciels malveillants dans la nature au cours de cette enquête", expliquent les chercheurs.
Pire encore, "il arrive souvent qu'une version personnalisée d'un package Chromium autonome soit installée avec des extensions malveillantes déjà incluses"
Cette technique permet à l'attaquant de contourner complètement le Chrome Store et éludez tout contrôle de sécurité. Étant donné que la plupart des utilisateurs ne reconnaissent pas la différence entre Chrome et Chromium, lorsqu'on leur demande de faire du nouveau navigateur leur navigateur par défaut, ils le font souvent, transformant leur navigateur principal en un navigateur qui continuera avec plaisir à charger des extensions malveillantes à partir d'autres sources liées à GalComm.
De plus, les équipes de sécurité d'entreprise feraient bien de reconnaître que les extensions de navigateur malveillantes posent un risque important, d'autant plus que nos vies numériques sont désormais largement effectuées dans le navigateur.
En outre, cette menace contourne un certain nombre de mécanismes de sécurité traditionnels, qui incluent des solutions de sécurité pour les points d'accès, les moteurs de réputation de domaine, les serveurs proxy Web et les sandbox basés sur le cloud.
Par conséquent, les équipes de sécurité doivent constamment rechercher des tactiques, des techniques et des procédures pour compenser les lacunes technologiques », conseille l'entreprise.
Jusqu'à présent, Google a supprimé 106 des 111 extensions malveillantes.
«Lorsque nous sommes alertés des extensions du Web Store qui enfreignent nos règles, nous prenons des mesures et utilisons ces incidents comme matériel de formation pour améliorer notre analyse automatique et manuelle», a déclaré Scott Westover, porte-parole de Google.
«Nous effectuons des analyses régulières pour trouver des extensions en utilisant des techniques, du code et des comportements similaires», ajoute-t-il.
Mais la plupart des utilisateurs ont du mal à identifier les extensions malveillantes car elles ont tendance à avoir un nombre relativement important d'utilisateurs, lorsqu'elles ont été développées par des marques inconnues.
Ils sont également peu critiqués. Au contraire, ils obtiennent de bonnes notes et comptent beaucoup de fausses opinions des internautes. En outre, le nombre de téléchargements a probablement été gonflé pour inciter les utilisateurs à les installer, selon Awake Security.
Enfin, si vous voulez en savoir plus À propos des extensions découvertes, vous pouvez vérifier les détails en allant sur le lien suivant.
source: https://awakesecurity.com