חברת אבטחת הסייבר אבטחה ערה נחשפה לאחרונה שהזהיר את גוגל קיומם של 111 תוספי Chrome זדוניים, שהורדו 32,9 מיליון פעמים וגוגל דיווחה עליהם לאחרונה 106 מהתוספות הללו כבר לא זמינות בחנות האינטרנט של Chrome וכי אלה שהיו בשימוש הושבתו.
הגילוי מגיע חודשים לאחר ש- Duo Security דיווחה כי 500 הרחבות הורידו בחשאי נתוני גלישה ממיליוני משתמשים מאז ינואר 2019.
על פי אבטחה ערה, הרחבות אלה פותחו ככל הנראה על ידי מפתח יחיד. המשותף לכולם הוא שכל הפעילויות שלהם מקושרים ל- GalComm, רשם תחומי אינטרנט.
עם זאת, אבטחה ערה אומרת ש- GalComm לא מאחור של הקמפיין הנהדר הזה, אבל הוא עדיין היה צריך לדעת מה קורה.
"מתוך 26.079 התחומים הנגישים הרשומים על ידי GalComm, 15.160 דומיינים, או כמעט 60%, הם זדוניים או חשודים. כמו כן מצאנו והצגנו עדויות לכך שתחומים אלה משמשים לאירוח כלים מסורתיים של תוכנות זדוניות ודפדפנים ", אמרה חברת האבטחה.
הבעלים של הרשם הישראלי, משה פוגל, אמר מצידו:
"GalComm אינו מעורב ואינו אביזר לפעילות זדונית כלשהי." עם זאת נכתב כי רוב שמות הדומיינים הללו אינם פעילים וכי הוא ימשיך לחקור את השאר.
בנוסף, רוב הרחבות הללו חולקות גרפיקה זהה ואותו בסיס קוד. הם מציעים, למשל, שירותים כגון מניעה מפני אתרים מסוכנים או המרת קבצים.
מצד, החוקרים אומרים כי הרחבות למניעת תוכנות זדוניות אינן יעילות. לאחר שבדקו אחד מהם, ByteFence, הם גילו שהיא מסווגת כמה אתרים זדוניים כ"בטוחים ".
ByteFence היא הגרסה המחודשת של סיומת אחרת הנקראת Reason Core Security.
"גילינו שזה קשור לתוכנות זדוניות בטבע במהלך החקירה הזו", אומרים החוקרים.
גרוע מכך, "לעיתים קרובות קורה שמותקנת גרסה מותאמת אישית של חבילת כרום עצמאית עם סיומות זדוניות שכבר כלולות"
טכניקה זו מאפשרת לתוקף לעקוף לחלוטין את חנות Chrome ולהתחמק מכל בקרת אבטחה. מכיוון שרוב המשתמשים אינם מזהים את ההבדל בין Chrome ל- Chromium, כאשר הם מתבקשים להפוך את הדפדפן החדש לדפדפן ברירת המחדל שלהם, הם עושים זאת לעיתים קרובות, והופכים את הדפדפן הראשי שלהם לדפדפן שימשיך לטעון בשמחה תוספים זדוניים ממקורות אחרים הקשורים ל- GalComm.
יתר על כן, טוב יעשו צוותי אבטחה ארגוניים אם יכירו כי הרחבות דפדפנים זדוניות מהוות סיכון משמעותי, במיוחד מכיוון שחיינו הדיגיטליים מתבצעים כיום בעיקר בדפדפן.
בנוסף, איום זה עוקף מספר מנגנוני אבטחה מסורתיים, כולל פתרונות אבטחה עבור נקודות גישה, מנועי מוניטין של תחומים, שרתי פרוקסי אינטרנט וארגזי חול מבוססי ענן.
לכן, צוותי אבטחה חייבים לחפש כל הזמן טקטיקות, טכניקות ונהלים לפצות על פערים טכנולוגיים ", מייעצת לחברה.
עד כה גוגל הסירה 106 מתוך 111 תוספים זדוניים.
"כאשר אנו מתריעים על הרחבות של חנות האינטרנט המפרות את המדיניות שלנו, אנו נוקטים פעולה ומשתמשים באירועים אלה כחומר הדרכה לשיפור הניתוח האוטומטי והידני שלנו", אמר סקוט ווסטובר, דובר גוגל.
"אנו מבצעים סריקות קבועות כדי למצוא הרחבות תוך שימוש בטכניקות, קוד והתנהגות דומים", הוא מוסיף.
אך לרוב המשתמשים קשה לזהות תוספים זדוניים מכיוון שהם נוטים להיות בעלי מספר גדול יחסית של משתמשים, כאשר הם פותחו על ידי מותגים לא ידועים.
הם גם מעט מבקרים. נהפוך הוא, הם זוכים לציונים טובים וסופרים הרבה דעות כוזבות ממשתמשי האינטרנט. כמו כן, ככל הנראה מספר ההורדות מנופח כדי לפתות את המשתמשים להתקין אותם, על פי Awake Security.
לבסוף, אם אתה רוצה לדעת יותר על זה לגבי התוספים שהתגלו, תוכלו לבדוק את הפרטים על ידי מעבר לקישור הבא.
מקור: https://awakesecurity.com