Tvrtka za kibernetsku sigurnost Awake Security nedavno predstavljen koji je upozorio Google postojanje 111 zlonamjernih proširenja za Chrome, koji su preuzeti 32,9 milijuna puta i o kojima je Google nedavno izvijestio 106 od ovih proširenja više nisu dostupna u Chrome web trgovini i da su one koje su se koristile onemogućene.
Otkriće dolazi nekoliko mjeseci nakon što je Duo Security izvijestio da je 500 proširenja tajno preuzelo podatke o pregledavanju od milijuna korisnika od siječnja 2019.
Prema Awake Security, ta je proširenja vjerojatno razvio jedan programer. Svima im je zajedničko da su sve njihove aktivnosti povezani su s GalCommom, matičar internetske domene.
Međutim, Awake Security kaže da GalComm ne zaostaje ove sjajne kampanje, ali svejedno je trebao znati što se događa.
“Od 26.079 dostupnih domena koje je registrirao GalComm, 15.160 domena ili gotovo 60% je zlonamjernih ili sumnjivih. Također smo pronašli i iznijeli dokaze da se te domene koriste za hostiranje tradicionalnog zlonamjernog softvera i alata za nadzor preglednika ”, rekla je zaštitarska tvrtka.
Sa svoje strane, vlasnik izraelskog registra, Moshe Fogel, rekao je:
"GalComm nije uključen i nije dodatak bilo kojoj zlonamjernoj aktivnosti." Međutim, rekao je da je većina ovih imena domena neaktivna i da će nastaviti istraživati ostatak.
Osim toga, većina ovih proširenja dijeli istu grafiku i istu bazu koda. Oni nude, na primjer, usluge poput sprečavanja opasnih web stranica ili pretvorbe datoteka.
Sa svoje strane, Proširenja za sprječavanje zlonamjernog softvera neučinkovita su, tvrde istraživači sigurnosti. Nakon testiranja jednog od njih, ByteFence, otkrili su da je nekoliko zlonamjernih web mjesta klasificiralo kao "sigurne".
ByteFence je preinačena verzija drugog proširenja nazvanog Reason Core Security.
"Otkrili smo da je povezan sa zlonamjernim softverom u divljini tijekom ove istrage", kažu istraživači.
Još gore, "često se dogodi da je prilagođena verzija samostalnog paketa Chromium instalirana s već uključenim zlonamjernim proširenjima"
Ova tehnika omogućuje napadaču da u potpunosti zaobiđe Chrome trgovinu i izbjegavajte bilo kakve sigurnosne kontrole. Budući da većina korisnika ne prepoznaje razliku između Chromea i Chromiuma, kad se od njih zatraži da novi preglednik postanu zadani preglednik, to često čine pretvarajući svoj glavni preglednik u preglednik koji će rado nastaviti učitavati zlonamjerna proširenja iz drugih izvora povezanih s GalCommom.
Nadalje, timovi korporativne sigurnosti dobro bi prihvatili da zlonamjerna proširenja preglednika predstavljaju značajan rizik, pogotovo jer se naši digitalni životi većinom odvijaju u pregledniku.
Osim toga, ova prijetnja zaobilazi niz tradicionalnih sigurnosnih mehanizama, uključujući sigurnosna rješenja za pristupne točke, mehanizme za reputaciju domene, web proxy poslužitelje i pješčanike u oblaku.
Stoga, sigurnosni timovi moraju neprestano tražiti taktike, tehnike i postupke nadoknaditi tehnološke praznine ”, savjetuje tvrtka.
Do sada je Google uklonio 106 od 111 zlonamjernih proširenja.
"Kada smo upozoreni na proširenja Web trgovine koja krše naša pravila, poduzimamo mjere i koristimo te incidente kao materijal za obuku kako bismo poboljšali našu automatsku i ručnu analizu", rekao je Scott Westover, glasnogovornik Googlea.
"Redovito skeniramo kako bismo pronašli proširenja koristeći slične tehnike, kod i ponašanje", dodaje.
No, većini je korisnika teško identificirati zlonamjerna proširenja jer imaju relativno velik broj korisnika kada su ih razvili nepoznati brendovi.
Oni su također malo kritizirani. Naprotiv, oni dobivaju dobre ocjene i broje puno lažnih mišljenja od korisnika Interneta. Također, broj preuzimanja vjerojatno je napuhan kako bi privukao korisnike da ih instaliraju, navodi Awake Security.
Konačno, ako želite znati više o tome O otkrivenim proširenjima možete provjeriti detalje na sljedećoj poveznici.
izvor: https://awakesecurity.com