Kiberdrošības uzņēmums Nesen tika atklāts Awake Security kurš bija brīdinājis Google 111 ļaunprātīgu Chrome paplašinājumu esamība, kas ir lejupielādēti 32,9 miljonus reižu un par kuriem Google nesen ziņoja 106 no šiem paplašinājumiem vairs nav pieejami Chrome interneta veikalā un ka tie, kas tika izmantoti, ir atspējoti.
Atklājums notika mēnešus pēc tam, kad Duo Security ziņoja, ka 500 paplašinājumi kopš 2019. gada janvāra slepeni lejupielādēja pārlūkošanas datus no miljoniem lietotāju.
Saskaņā ar Awake Security teikto šos paplašinājumus, iespējams, izstrādāja viens izstrādātājs. Viņiem visiem ir kopīgs tas, ka visas viņu darbības ir saistīti ar GalComm, interneta domēnu reģistrators.
Tomēr, Awake Security saka, ka GalComm nav aiz muguras no šīs lieliskās kampaņas, bet viņam tomēr vajadzēja zināt, kas notiek.
“No 26.079 15.160 pieejamiem domēniem, kurus reģistrējis GalComm, 60 XNUMX domēni jeb gandrīz XNUMX% ir ļaunprātīgi vai aizdomīgi. Mēs esam arī atraduši un iesnieguši pierādījumus tam, ka šie domēni tiek izmantoti tradicionālo ļaunprogrammatūru un pārlūka uzraudzības rīku mitināšanai, ”paziņoja drošības kompānija.
Savukārt Izraēlas reģistratūras īpašnieks Moshe Fogel teica:
"GalComm nav iesaistīts un nav ļaunprātīgas darbības piederums." Tomēr tā paziņoja, ka lielākā daļa šo domēna vārdu ir neaktīvi un ka tā turpinās izmeklēt pārējos.
Turklāt, lielākajai daļai šo paplašinājumu ir tāda pati grafika un to pašu kodu bāzi. Tie piedāvā, piemēram, tādus pakalpojumus kā bīstamu vietņu novēršana vai failu konvertēšana.
No savas puses, Ļaunprātīgas programmatūras novēršanas paplašinājumi ir neefektīvi, saka Awake Security Researchers. Pārbaudījuši vienu no tiem, ByteFence, viņi atklāja, ka tā vairākas ļaunprātīgas vietnes ir klasificējusi kā "drošas".
ByteFence ir cita paplašinājuma, kura nosaukums ir Reason Core Security, atjaunotā versija.
"Šīs izmeklēšanas laikā mēs atklājām, ka tas ir saistīts ar ļaunprātīgu programmatūru savvaļā," saka pētnieki.
Vēl sliktāk - "bieži gadās, ka tiek instalēta atsevišķa Chromium pakotnes pielāgota versija, kurā jau ir iekļauti ļaunprātīgi paplašinājumi"
Šis paņēmiens ļauj uzbrucējam pilnībā apiet Chrome veikalu un izvairīties no jebkuras drošības kontroles. Tā kā lielākā daļa lietotāju neatpazīst atšķirību starp Chrome un Chromium, tad, kad viņiem tiek lūgts padarīt jauno pārlūkprogrammu par noklusējuma pārlūku, viņi to bieži dara, pārvēršot galveno pārlūku pārlūkprogrammā, kas ar prieku turpinās ielādēt ļaunprātīgus paplašinājumus no citiem ar GalComm saistītiem avotiem.
Turklāt korporatīvās drošības komandām būtu labi atzīt, ka ļaunprātīgi pārlūka paplašinājumi rada ievērojamu risku, jo īpaši tāpēc, ka mūsu digitālā dzīve tagad lielā mērā notiek pārlūkprogrammā.
Turklāt, šie draudi apiet vairākus tradicionālos drošības mehānismus, ieskaitot piekļuves punktu, domēna reputācijas dzinēju, tīmekļa starpniekserveru un mākoņa bāzes smilškastes drošības risinājumus.
Tāpēc, drošības komandām pastāvīgi jāmeklē taktika, paņēmieni un procedūras lai kompensētu tehnoloģiskās nepilnības ”, konsultē uzņēmums.
Līdz šim Google ir noņēmis 106 no 111 ļaunprātīgiem paplašinājumiem.
"Kad mūs brīdina par interneta veikala paplašinājumiem, kas pārkāpj mūsu politiku, mēs rīkojamies un izmantojam šos incidentus kā mācību materiālu, lai uzlabotu mūsu automātisko un manuālo analīzi," sacīja Skots Vestovers, Google pārstāvis.
"Mēs regulāri skenējam, lai atrastu paplašinājumus, izmantojot līdzīgas metodes, kodu un uzvedību," viņš piebilst.
Bet lielākajai daļai lietotāju ir grūti identificēt ļaunprātīgus paplašinājumus, jo tiem parasti ir salīdzinoši daudz lietotāju, kad tos izstrādāja nezināmi zīmoli.
Arī viņus maz kritizē. Gluži pretēji, viņi saņem labas atzīmes un saskaita daudz nepatiesu interneta lietotāju viedokļu. Arī lejupielāžu skaits, iespējams, ir palielināts, lai vilinātu lietotājus tās instalēt, norāda Awake Security.
Visbeidzot, ja vēlaties uzzināt vairāk par to Par atklātajiem paplašinājumiem informāciju varat pārbaudīt, dodoties uz šo saiti.
Fuente: https://awakesecurity.com