Nettsikkerhetsselskapet Awake Security avduket nylig som hadde varslet Google om eksistensen av 111 ondsinnede Chrome-utvidelser, som er lastet ned 32,9 millioner ganger, og som Google nylig rapporterte om 106 av disse utvidelsene er ikke lenger tilgjengelige i Chrome Nettmarked og at de som var i bruk er deaktivert.
Oppdagelsen kommer måneder etter at Duo Security rapporterte at 500 utvidelser i hemmelighet har lastet ned nettleserdata fra millioner av brukere siden januar 2019.
I følge Awake Security, disse utvidelsene ble sannsynligvis utviklet av en enkelt utvikler. Felles for dem alle er at alle aktivitetene deres er knyttet til GalComm, en domeneregistrator på internett.
Imidlertid Awake Security sier at GalComm ikke er bak av denne flotte kampanjen, men han skulle fortsatt ha visst hva som skjedde.
“Av de 26.079 15.160 tilgjengelige domenene som er registrert av GalComm, er 60 XNUMX domener, eller nesten XNUMX%, ondsinnede eller mistenkelige. Vi har også funnet og presentert bevis for at disse domenene brukes til å være vertskap for tradisjonelle verktøy for overvåking av skadelig programvare og nettleser, sier sikkerhetsselskapet.
For sin del sa eieren av den israelske registraren Moshe Fogel:
"GalComm er ikke involvert og er ikke et tilbehør til skadelig aktivitet." Det sa imidlertid at de fleste av disse domenenavnene var inaktive, og at det ville fortsette å undersøke resten.
Videre de fleste av disse utvidelsene har samme grafikk og samme kodebase. De tilbyr for eksempel tjenester som forebygging mot farlige nettsteder eller filkonvertering.
For sin del, Utvidelser mot forebygging av skadelig programvare er ineffektive, sier forskere om våken sikkerhet. Etter å ha testet en av dem, ByteFence, fant de ut at den klassifiserte flere ondsinnede nettsteder som "trygge".
ByteFence er den fornyede versjonen av en annen utvidelse kalt Reason Core Security.
"Vi oppdaget at det var forbundet med skadelig programvare i naturen under denne etterforskningen," sier forskerne.
Enda verre, "det hender ofte at en tilpasset versjon av en frittstående Chromium-pakke er installert med skadelige utvidelser som allerede er inkludert"
Denne teknikken lar angriperen helt omgå Chrome-butikken og unngå enhver sikkerhetskontroll. Siden de fleste brukere ikke gjenkjenner forskjellen mellom Chrome og Chromium, gjør de ofte det når de blir bedt om å gjøre den nye nettleseren til standard nettleser, og gjør hovedleseren til en nettleser som gjerne vil fortsette å laste ondsinnede utvidelser fra andre GalComm-relaterte kilder.
Videre vil bedriftens sikkerhetsteam gjøre det bra å erkjenne at ondsinnede nettleserutvidelser utgjør en betydelig risiko, spesielt siden våre digitale liv nå i stor grad utføres i nettleseren.
Videre denne trusselen omgår en rekke tradisjonelle sikkerhetsmekanismer, inkludert sikkerhetsløsninger for tilgangspunkter, domeneromotemotorer, web-proxy-servere og skybaserte sandkasser.
Derfor, sikkerhetsteam må hele tiden lete etter taktikker, teknikker og prosedyrer å kompensere for teknologiske hull ”, råder selskapet.
Så langt har Google fjernet 106 av 111 ondsinnede utvidelser.
"Når vi blir varslet om utvidelser av nettbutikker som bryter med retningslinjene våre, tar vi grep og bruker disse hendelsene som opplæringsmateriell for å forbedre vår automatiske og manuelle analyse," sa Scott Westover, talsmann for Google.
"Vi gjør regelmessige skanninger for å finne utvidelser ved hjelp av lignende teknikker, kode og oppførsel," legger han til.
Men de fleste brukere synes det er vanskelig å identifisere ondsinnede utvidelser fordi de pleier å ha et relativt stort antall brukere, da de ble utviklet av ukjente merker.
De blir også lite kritisert. Tvert imot, de får gode karakterer og teller mange falske meninger fra Internett-brukere. Antall nedlastinger er sannsynligvis oppblåst for å lokke brukere til å installere dem, ifølge Awake Security.
Endelig, hvis du vil vite mer om det Om utvidelsene som ble oppdaget, kan du sjekke detaljene ved å gå til følgende lenke.
Fuente: https://awakesecurity.com