L'azienda di sicurezza informatica Svegliati di recente ha presentato la sicurezza che aveva avvisato Google di l'esistenza di 111 estensioni di Chrome dannose, che sono stati scaricati 32,9 milioni di volte e di cui Google lo ha recentemente segnalato 106 di queste estensioni non sono più disponibili nel Chrome Web Store e che quelli che erano in uso siano stati disabilitati.
La scoperta arriva mesi dopo che Duo Security ha riferito che 500 estensioni hanno scaricato segretamente i dati di navigazione da milioni di utenti da gennaio 2019.
Secondo Awake Security, queste estensioni sono state probabilmente sviluppate da un singolo sviluppatore. Quello che hanno tutti in comune è che tutte le loro attività sono collegati a GalComm, un registrar di domini Internet.
Tuttavia, Awake Security dice che GalComm non è indietro di questa grande campagna, ma avrebbe dovuto ancora sapere cosa stava succedendo.
“Dei 26.079 domini accessibili registrati da GalComm, 15.160 domini, o quasi il 60%, sono dannosi o sospetti. Abbiamo anche trovato e presentato prove che questi domini vengono utilizzati per ospitare malware tradizionali e strumenti di monitoraggio del browser ", ha affermato la società di sicurezza.
Da parte sua, il proprietario del cancelliere israeliano, Moshe Fogel, ha dichiarato:
"GalComm non è coinvolto e non è un accessorio di alcuna attività dannosa." Tuttavia, ha affermato che la maggior parte di questi nomi di dominio erano inattivi e che avrebbe continuato a indagare sul resto.
Inoltre, la maggior parte di queste estensioni condivide la stessa grafica e la stessa base di codice. Offrono, ad esempio, servizi come la prevenzione da siti Web pericolosi o la conversione di file.
D'altro canto, Le estensioni per la prevenzione del malware sono inefficaci, notano i ricercatori di Awake Security. Dopo aver testato uno di loro, ByteFence, hanno scoperto che ha classificato diversi siti dannosi come "sicuri".
ByteFence è la versione rinnovata di un'altra estensione chiamata Reason Core Security.
"Abbiamo scoperto che era associato a malware in natura durante questa indagine", affermano i ricercatori.
Peggio ancora, "accade spesso che una versione personalizzata di un pacchetto Chromium autonomo venga installata con estensioni dannose già incluse"
Questa tecnica consente all'autore dell'attacco di aggirare completamente il negozio di Chrome ed eludere qualsiasi controllo di sicurezza. Poiché la maggior parte degli utenti non riconosce la differenza tra Chrome e Chromium, quando viene chiesto di impostare il nuovo browser come browser predefinito, spesso lo fa, trasformando il browser principale in un browser che continuerà felicemente a caricare estensioni dannose da altre fonti correlate a GalComm .
Inoltre, i team di sicurezza aziendale farebbero bene a riconoscere che le estensioni del browser dannose rappresentano un rischio significativo, soprattutto perché le nostre vite digitali sono ora in gran parte svolte nel browser.
Inoltre, questa minaccia aggira una serie di meccanismi di sicurezza tradizionali, comprese soluzioni di sicurezza per punti di accesso, motori di reputazione del dominio, server proxy Web e sandbox basati su cloud.
Pertanto, i team di sicurezza devono cercare costantemente tattiche, tecniche e procedure per compensare le lacune tecnologiche ”, consiglia l'azienda.
Finora, Google ha rimosso 106 estensioni dannose su 111.
"Quando veniamo avvisati di estensioni del Web Store che violano le nostre politiche, prendiamo provvedimenti e utilizziamo questi incidenti come materiale di formazione per migliorare la nostra analisi automatica e manuale", ha affermato Scott Westover, portavoce di Google.
"Eseguiamo scansioni regolari per trovare estensioni utilizzando tecniche, codice e comportamento simili", aggiunge.
Ma la maggior parte degli utenti trova difficile identificare le estensioni dannose perché tendono ad avere un numero relativamente elevato di utenti, quando sono state sviluppate da marchi sconosciuti.
Sono anche poco criticati. Al contrario, ottengono buoni voti e contano molte false opinioni da parte degli utenti di Internet. Inoltre, il numero di download è stato probabilmente gonfiato per invogliare gli utenti a installarli, secondo Awake Security.
Infine, se vuoi saperne di più Riguardo alle estensioni che sono state scoperte, puoi controllare i dettagli andando al seguente link.
fonte: https://awakesecurity.com