บริษัท รักษาความปลอดภัยทางไซเบอร์ เพิ่งเปิดตัว Awake Security ที่แจ้งเตือน Google ถึง การมีอยู่ของส่วนขยาย Chrome ที่เป็นอันตราย 111 รายการ ที่ถูกดาวน์โหลด 32,9 ล้านครั้งและล่าสุด Google รายงานว่า 106 ส่วนขยายเหล่านี้ไม่สามารถใช้งานได้อีกต่อไป ใน Chrome เว็บสโตร์และสิ่งที่ถูกใช้งานถูกปิดใช้งาน
การค้นพบนี้เกิดขึ้นหลายเดือนหลังจากที่ Duo Security รายงานว่าส่วนขยาย 500 รายการได้แอบดาวน์โหลดข้อมูลการท่องเว็บจากผู้ใช้หลายล้านคนตั้งแต่เดือนมกราคม 2019
ตามข้อมูลของ Awake Security ส่วนขยายเหล่านี้อาจได้รับการพัฒนาโดยนักพัฒนารายเดียว สิ่งที่พวกเขามีเหมือนกันคือกิจกรรมทั้งหมดของพวกเขา เชื่อมโยงกับ GalCommผู้รับจดทะเบียนโดเมนอินเทอร์เน็ต
อย่างไรก็ตาม Awake Security บอกว่า GalComm มาไม่ทัน ของแคมเปญดีๆนี้ แต่เขาน่าจะยังรู้ว่าเกิดอะไรขึ้น
“ จาก 26.079 โดเมนที่สามารถเข้าถึงได้ซึ่งจดทะเบียนโดย GalComm 15.160 โดเมนหรือเกือบ 60% เป็นโดเมนที่เป็นอันตรายหรือน่าสงสัย นอกจากนี้เรายังพบและแสดงหลักฐานว่าโดเมนเหล่านี้ใช้เพื่อโฮสต์มัลแวร์แบบดั้งเดิมและเครื่องมือตรวจสอบเบราว์เซอร์” บริษัท รักษาความปลอดภัยกล่าว
ในส่วนของเขา Moshe Fogel เจ้าของทะเบียนอิสราเอลกล่าวว่า:
"GalComm ไม่มีส่วนเกี่ยวข้องและไม่ใช่อุปกรณ์เสริมสำหรับกิจกรรมที่เป็นอันตรายใด ๆ " อย่างไรก็ตามมีการกล่าวว่าชื่อโดเมนเหล่านี้ส่วนใหญ่ไม่มีการใช้งานและจะดำเนินการตรวจสอบส่วนที่เหลือต่อไป
นอกจากนี้ ส่วนขยายเหล่านี้ส่วนใหญ่ใช้กราฟิกเดียวกัน และฐานรหัสเดียวกัน ตัวอย่างเช่นบริการต่างๆเช่นการป้องกันเว็บไซต์อันตรายหรือการแปลงไฟล์
สำหรับส่วนของตน ส่วนขยายการป้องกันมัลแวร์ใช้ไม่ได้ผลนักวิจัยด้านความปลอดภัยของ Awake หมายเหตุ. หลังจากทดสอบหนึ่งในนั้นคือ ByteFence พวกเขาพบว่ามีการจัดประเภทไซต์ที่เป็นอันตรายหลายแห่งว่า "ปลอดภัย"
ByteFence เป็นเวอร์ชันปรับปรุงใหม่ของส่วนขยายอื่นที่เรียกว่า Reason Core Security
"เราพบว่ามีความเกี่ยวข้องกับมัลแวร์ในป่าในระหว่างการตรวจสอบ" นักวิจัยกล่าว
ที่แย่กว่านั้นคือ "มักจะเกิดขึ้นบ่อยครั้งที่มีการติดตั้งแพ็กเกจ Chromium แบบสแตนด์อโลนเวอร์ชันที่กำหนดเองซึ่งมีส่วนขยายที่เป็นอันตรายอยู่แล้ว"
เทคนิคนี้ช่วยให้ผู้โจมตีสามารถข้าม Chrome store ได้อย่างสมบูรณ์ และหลบเลี่ยงการควบคุมความปลอดภัยใด ๆ เนื่องจากผู้ใช้ส่วนใหญ่ไม่รู้จักความแตกต่างระหว่าง Chrome และ Chromium เมื่อถูกขอให้สร้างเบราว์เซอร์ใหม่เป็นเบราว์เซอร์เริ่มต้นพวกเขามักจะทำเช่นนั้นโดยเปลี่ยนเบราว์เซอร์หลักให้เป็นเบราว์เซอร์ที่จะโหลดส่วนขยายที่เป็นอันตรายจากแหล่งอื่น ๆ ที่เกี่ยวข้องกับ GalComm อย่างมีความสุข
นอกจากนี้ทีมรักษาความปลอดภัยขององค์กรควรยอมรับว่าส่วนขยายเบราว์เซอร์ที่เป็นอันตรายก่อให้เกิดความเสี่ยงอย่างมากโดยเฉพาะอย่างยิ่งเนื่องจากปัจจุบันชีวิตดิจิทัลของเราส่วนใหญ่ดำเนินการในเบราว์เซอร์
นอกจากนี้ ภัยคุกคามนี้ข้ามกลไกการรักษาความปลอดภัยแบบเดิมหลายประการซึ่งรวมถึงโซลูชันการรักษาความปลอดภัยสำหรับจุดเชื่อมต่อเอ็นจินชื่อเสียงโดเมนเว็บพร็อกซีเซิร์ฟเวอร์และแซนด์บ็อกซ์บนคลาวด์
ดังนั้น ทีมรักษาความปลอดภัยต้องมองหากลยุทธ์เทคนิคและขั้นตอนต่างๆอยู่เสมอ เพื่อชดเชยช่องว่างทางเทคโนโลยี” ให้คำแนะนำแก่ บริษัท
จนถึงขณะนี้ Google ได้ลบ 106 จาก 111 ส่วนขยายที่เป็นอันตราย
"เมื่อเราได้รับการแจ้งเตือนเกี่ยวกับส่วนขยายเว็บสโตร์ที่ละเมิดนโยบายของเราเราจะดำเนินการและใช้เหตุการณ์เหล่านี้เป็นสื่อการฝึกอบรมเพื่อปรับปรุงการวิเคราะห์อัตโนมัติและด้วยตนเอง" สก็อตต์เวสต์โอเวอร์โฆษกของ Google กล่าว
"เราทำการสแกนเป็นประจำเพื่อค้นหาส่วนขยายโดยใช้เทคนิคโค้ดและลักษณะการทำงานที่คล้ายคลึงกัน" เขากล่าวเสริม
แต่ผู้ใช้ส่วนใหญ่พบว่าเป็นการยากที่จะระบุส่วนขยายที่เป็นอันตรายเนื่องจากมักจะมีผู้ใช้จำนวนค่อนข้างมากเมื่อพวกเขาได้รับการพัฒนาโดยแบรนด์ที่ไม่รู้จัก
พวกเขายังถูกวิพากษ์วิจารณ์เล็กน้อย ในทางตรงกันข้ามพวกเขาได้รับคะแนนที่ดีและนับความคิดเห็นที่ผิดพลาดมากมายจากผู้ใช้อินเทอร์เน็ต นอกจากนี้จำนวนการดาวน์โหลดอาจสูงเกินจริงเพื่อดึงดูดให้ผู้ใช้ติดตั้งตามข้อมูลของ Awake Security
ในที่สุด หากคุณต้องการทราบข้อมูลเพิ่มเติม เกี่ยวกับส่วนขยายที่ค้นพบคุณสามารถตรวจสอบรายละเอียดได้โดยไปที่ลิงค์ต่อไปนี้
Fuente: https://awakesecurity.com