Het cyberbeveiligingsbedrijf Awake Security is onlangs onthuld die Google had gewaarschuwd het bestaan van 111 kwaadaardige Chrome-extensies, die 32,9 miljoen keer zijn gedownload en waarvan Google dat onlangs meldde 106 van deze extensies zijn niet langer beschikbaar in Chrome Web Store en dat degene die in gebruik waren, zijn uitgeschakeld.
De ontdekking komt maanden nadat Duo Security meldde dat 500 extensies sinds januari 2019 in het geheim browsegegevens van miljoenen gebruikers hebben gedownload.
Volgens Awake Security, deze extensies zijn waarschijnlijk ontwikkeld door een enkele ontwikkelaar. Wat ze allemaal gemeen hebben, is dat al hun activiteiten zijn gekoppeld aan GalComm, een internetdomeinregistrar.
Echter Awake Security zegt dat GalComm niet achterloopt van deze geweldige campagne, maar hij had nog steeds moeten weten wat er aan de hand was.
“Van de 26.079 toegankelijke domeinen die door GalComm zijn geregistreerd, zijn 15.160 domeinen, of bijna 60%, kwaadaardig of verdacht. We hebben ook bewijs gevonden en gepresenteerd dat deze domeinen worden gebruikt voor het hosten van traditionele malware en browsermonitoringstools ”, aldus het beveiligingsbedrijf.
De eigenaar van de Israëlische griffier, Moshe Fogel, zei op zijn beurt:
"GalComm is niet betrokken bij en is geen medeplichtig aan enige kwaadwillende activiteit." Het zei echter dat de meeste van deze domeinnamen inactief waren en dat het de rest zou blijven onderzoeken.
Bovendien heeft de meeste van deze extensies hebben dezelfde grafische weergave en dezelfde codebasis. Ze bieden bijvoorbeeld diensten aan als preventie tegen gevaarlijke websites of bestandsconversie.
Van haar kant, Malwarepreventie-extensies zijn niet effectief, merken Awake Security-onderzoekers op Na het testen van een van hen, ByteFence, ontdekten ze dat verschillende kwaadaardige sites als "veilig" werden geclassificeerd.
ByteFence is de vernieuwde versie van een andere extensie genaamd Reason Core Security.
"We ontdekten dat het tijdens dit onderzoek in verband werd gebracht met malware in het wild", aldus de onderzoekers.
Erger nog, "het komt vaak voor dat een aangepaste versie van een zelfstandig Chromium-pakket is geïnstalleerd met al kwaadaardige extensies."
Met deze techniek kan de aanvaller de Chrome-winkel volledig omzeilen en omzeil alle veiligheidscontroles. Omdat de meeste gebruikers het verschil tussen Chrome en Chromium niet herkennen, doen ze dat vaak wanneer ze worden gevraagd om van de nieuwe browser hun standaardbrowser te maken, waarbij ze hun hoofdbrowser veranderen in een browser die graag kwaadaardige extensies uit andere GalComm-gerelateerde bronnen blijft laden. .
Bovendien zouden beveiligingsteams van bedrijven er goed aan doen te erkennen dat kwaadwillende browserextensies een aanzienlijk risico vormen, vooral omdat ons digitale leven nu grotendeels in de browser wordt uitgevoerd.
Bovendien heeft deze dreiging omzeilt een aantal traditionele beveiligingsmechanismen, inclusief beveiligingsoplossingen voor toegangspunten, domeinreputatie-engines, webproxyservers en cloudgebaseerde sandboxen.
Daarom beveiligingsteams moeten constant zoeken naar tactieken, technieken en procedures om technologische hiaten te compenseren ”, adviseert het bedrijf.
Tot dusver heeft Google 106 van de 111 kwaadaardige extensies verwijderd.
"Wanneer we worden gewaarschuwd voor Web Store-extensies die ons beleid schenden, ondernemen we actie en gebruiken we deze incidenten als trainingsmateriaal om onze automatische en handmatige analyse te verbeteren", aldus Scott Westover, woordvoerder van Google.
"We doen regelmatig scans om extensies te vinden die vergelijkbare technieken, code en gedrag gebruiken", voegt hij eraan toe.
Maar de meeste gebruikers vinden het moeilijk om kwaadaardige extensies te identificeren, omdat ze doorgaans een relatief groot aantal gebruikers hebben, wanneer ze zijn ontwikkeld door onbekende merken.
Ze krijgen ook weinig kritiek. Integendeel, ze halen goede cijfers en tellen veel valse meningen van internetgebruikers. Ook is het aantal downloads waarschijnlijk opgeblazen om gebruikers te verleiden om ze te installeren, aldus Awake Security.
Tenslotte als je er meer over wilt weten Over de extensies die zijn ontdekt, kunt u de details controleren door naar de volgende link te gaan.
bron: https://awakesecurity.com