A empresa de segurança cibernética Awake Security revelou recentemente que alertou o Google sobre a existência de 111 extensões maliciosas do Chrome, que foram baixados 32,9 milhões de vezes e dos quais o Google relatou recentemente que 106 dessas extensões não estão mais disponíveis na Chrome Web Store e que aqueles que estavam em uso foram desativados.
A descoberta ocorre meses depois que o Duo Security informou que 500 extensões baixaram secretamente dados de navegação de milhões de usuários desde janeiro de 2019.
De acordo com a Awake Security, essas extensões foram provavelmente desenvolvidas por um único desenvolvedor. O que todos eles têm em comum é que todas as suas atividades estão ligados ao GalComm, um registrador de domínio da Internet.
No entanto, Awake Security diz que GalComm não está atrás desta grande campanha, mas ele ainda deveria saber o que estava acontecendo.
“Dos 26.079 domínios acessíveis registrados pelo GalComm, 15.160 domínios, ou quase 60%, são maliciosos ou suspeitos. Também encontramos e apresentamos evidências de que esses domínios são usados para hospedar malware tradicional e ferramentas de monitoramento de navegador ”, disse a empresa de segurança.
Por sua vez, o dono do cartório israelense, Moshe Fogel, disse:
"GalComm não está envolvido e não é um acessório para qualquer atividade maliciosa." No entanto, disse que a maioria desses nomes de domínio estava inativa e que continuaria investigando o restante.
Além disso, a maioria dessas extensões compartilham os mesmos gráficos e a mesma base de código. Eles oferecem, por exemplo, serviços como prevenção contra sites perigosos ou conversão de arquivos.
Por sua parte, o As extensões de prevenção de malware são ineficazes, Awake Security Researchers Note. Depois de testar um deles, o ByteFence, eles descobriram que vários sites maliciosos eram classificados como "seguros".
ByteFence é a versão renovada de outra extensão chamada Reason Core Security.
“Descobrimos que ele estava associado a malware durante a investigação”, afirmam os pesquisadores.
Pior ainda, "muitas vezes acontece que uma versão personalizada de um pacote autônomo do Chromium é instalada com extensões maliciosas já incluídas"
Esta técnica permite que o invasor ignore completamente a loja do Chrome e evadir quaisquer controles de segurança. Como a maioria dos usuários não reconhece a diferença entre o Chrome e o Chromium, quando solicitados a fazer do novo navegador seu navegador padrão, eles frequentemente o fazem, transformando seu navegador principal em um navegador que felizmente continuará a carregar extensões maliciosas de outras fontes relacionadas ao GalComm.
Além disso, as equipes de segurança corporativa fariam bem em reconhecer que as extensões de navegador mal-intencionadas representam um risco significativo, especialmente porque nossa vida digital agora é amplamente realizada no navegador.
Além disso, esta ameaça ignora uma série de mecanismos de segurança tradicionais, incluindo soluções de segurança para pontos de acesso, mecanismos de reputação de domínio, servidores proxy da web e sandboxes baseados em nuvem.
Portanto, as equipes de segurança devem buscar constantemente táticas, técnicas e procedimentos para compensar lacunas tecnológicas ”, aconselha a empresa.
Até agora, o Google removeu 106 de 111 extensões maliciosas.
"Quando somos alertados sobre extensões da Web Store que violam nossas políticas, agimos e usamos esses incidentes como material de treinamento para melhorar nossa análise automática e manual", disse Scott Westover, porta-voz do Google.
“Fazemos varreduras regulares para encontrar extensões usando técnicas, código e comportamento semelhantes”, acrescenta.
Mas a maioria dos usuários tem dificuldade em identificar extensões maliciosas porque tendem a ter um número relativamente grande de usuários, quando desenvolvidas por marcas desconhecidas.
Eles também são pouco criticados. Pelo contrário, obtêm boas notas e contam muitas falsas opiniões dos utilizadores da Internet. Além disso, o número de downloads provavelmente aumentou para estimular os usuários a instalá-los, de acordo com a Awake Security.
Finalmente, se você quiser saber mais sobre isso Sobre as extensões descobertas, você pode verificar os detalhes acessando o link a seguir.
fonte: https://awakesecurity.com