Firma zajmująca się cyberbezpieczeństwem Niedawno zaprezentowano Awake Security który zaalarmował Google istnienie 111 złośliwych rozszerzeń Chrome, które zostały pobrane 32,9 miliona razy, o których Google niedawno zgłosiło 106 z tych rozszerzeń nie jest już dostępnych w Chrome Web Store i że te, które były używane, zostały wyłączone.
Odkrycie nastąpiło kilka miesięcy po tym, jak Duo Security poinformowało, że 500 rozszerzeń potajemnie pobrało dane przeglądania od milionów użytkowników od stycznia 2019 r.
Według Awake Security rozszerzenia te zostały prawdopodobnie opracowane przez jednego programistę. To, co ich wszystkich łączy, to cała ich działalność są połączone z GalComm, rejestrator domen internetowych.
Jednak Awake Security mówi, że GalComm nie jest w tyle tej wspaniałej kampanii, ale nadal powinien był wiedzieć, co się dzieje.
„Spośród 26.079 15.160 dostępnych domen zarejestrowanych przez GalComm 60 XNUMX domen, czyli prawie XNUMX%, jest złośliwych lub podejrzanych. Znaleźliśmy również i przedstawiliśmy dowody na to, że domeny te są wykorzystywane do hostowania tradycyjnych narzędzi do monitorowania złośliwego oprogramowania i przeglądarek ”- powiedziała firma zajmująca się bezpieczeństwem.
Ze swojej strony właściciel izraelskiego rejestratora, Moshe Fogel, powiedział:
„GalComm nie jest zaangażowany i nie jest dodatkiem do żadnej złośliwej działalności”. Stwierdził jednak, że większość tych nazw domen jest nieaktywna i że nadal będzie badać resztę.
Ponadto, większość z tych rozszerzeń ma tę samą grafikę i ta sama baza kodu. Oferują na przykład takie usługi, jak zapobieganie niebezpiecznym stronom internetowym czy konwersja plików.
Ze swojej strony, Rozszerzenia zapobiegania złośliwemu oprogramowaniu są nieskuteczne, mówią badacze Awake Security. Po przetestowaniu jednej z nich, ByteFence, odkryli, że kilka złośliwych witryn zostało zaklasyfikowanych jako „bezpieczne”.
ByteFence to odświeżona wersja innego rozszerzenia o nazwie Reason Core Security.
„Odkryliśmy, że było to powiązane ze złośliwym oprogramowaniem w środowisku naturalnym podczas tego dochodzenia” - mówią naukowcy.
Co gorsza, „często zdarza się, że niestandardowa wersja samodzielnego pakietu Chromium jest instalowana z dołączonymi już złośliwymi rozszerzeniami”
Ta technika pozwala atakującemu na całkowite ominięcie sklepu Chrome i unikać kontroli bezpieczeństwa. Ponieważ większość użytkowników nie rozpoznaje różnicy między Chrome i Chromium, kiedy poproszeni o ustawienie nowej przeglądarki jako domyślnej przeglądarki, często to robią, zmieniając swoją główną przeglądarkę w przeglądarkę, która z radością będzie nadal ładować złośliwe rozszerzenia z innych źródeł związanych z GalComm.
Co więcej, korporacyjne zespoły ds. Bezpieczeństwa dobrze zrobią, jeśli uznają, że złośliwe rozszerzenia przeglądarek stanowią poważne zagrożenie, zwłaszcza że nasze cyfrowe życie odbywa się obecnie w dużej mierze w przeglądarce.
Ponadto, zagrożenie to omija szereg tradycyjnych mechanizmów bezpieczeństwa, w tym rozwiązania zabezpieczające dla punktów dostępu, aparaty reputacji domeny, internetowe serwery proxy i oparte na chmurze piaskownice.
Dlatego Zespoły ds. bezpieczeństwa muszą stale poszukiwać taktyk, technik i procedur aby zrekompensować luki technologiczne ”- radzi firma.
Jak dotąd firma Google usunęła 106 ze 111 złośliwych rozszerzeń.
„Gdy jesteśmy powiadamiani o rozszerzeniach sklepu internetowego, które naruszają nasze zasady, podejmujemy działania i wykorzystujemy te incydenty jako materiał szkoleniowy w celu ulepszenia naszej automatycznej i ręcznej analizy” - powiedział Scott Westover, rzecznik Google.
„Regularnie skanujemy, aby znaleźć rozszerzenia przy użyciu podobnych technik, kodu i zachowania” - dodaje.
Jednak większości użytkowników trudno jest zidentyfikować złośliwe rozszerzenia, ponieważ mają one zwykle stosunkowo dużą liczbę użytkowników, gdy zostały opracowane przez nieznane marki.
Są też mało krytykowani. Wręcz przeciwnie, uzyskują dobre oceny i liczą wiele fałszywych opinii internautów. Według Awake Security liczba pobrań została prawdopodobnie zawyżona, aby zachęcić użytkowników do ich zainstalowania.
Wreszcie, jeśli chcesz dowiedzieć się więcej na ten temat O wykrytych rozszerzeniach możesz sprawdzić szczegóły, przechodząc do poniższego linku.
źródło: https://awakesecurity.com