Компанія з кібербезпеки Нещодавно представлена програма Awake Security який попереджав Google існування 111 шкідливих розширень Chrome, які були завантажені 32,9 мільйона разів, і про які нещодавно Google повідомляв 106 із цих розширень більше не доступні у Веб-магазині Chrome, а ті, що використовувались, були вимкнені.
Відкриття відбулося через кілька місяців після того, як Duo Security повідомила, що 500 розширень таємно завантажили дані веб-перегляду від мільйонів користувачів з січня 2019 року.
За даними Awake Security, ці розширення, ймовірно, були розроблені одним розробником. Спільне у всіх - те, що вся їх діяльність пов'язані з GalComm, реєстратор домену в Інтернеті.
Проте, Awake Security заявляє, що GalComm не відстає цієї великої кампанії, але він все одно повинен був знати, що відбувається.
“З 26.079 15.160 доступних доменів, зареєстрованих GalComm, 60 XNUMX доменів, або майже XNUMX%, є шкідливими або підозрілими. Ми також знайшли та подали докази того, що ці домени використовуються для розміщення традиційних шкідливих програм та інструментів моніторингу браузерів », - повідомила компанія безпеки.
Зі свого боку, власник ізраїльського реєстратора Моше Фогель сказав:
"GalComm не бере участі та не є приналежністю до жодної зловмисної діяльності." Однак він заявив, що більшість цих доменних імен були неактивними, і що він продовжить розслідування решти.
Крім того, більшість із цих розширень мають однакову графіку і та сама база коду. Вони пропонують, наприклад, такі послуги, як запобігання небезпечним веб-сайтам або перетворення файлів.
Зі свого боку, Розширення з питань запобігання зловмисному програмному забезпеченню неефективні, зазначають дослідники Awake Security. Випробувавши одного з них, ByteFence, вони виявили, що він класифікував кілька шкідливих сайтів як "безпечні".
ByteFence - це оновлена версія іншого розширення під назвою Reason Core Security.
"Ми виявили, що це було пов'язано зі шкідливим програмним забезпеченням у природних умовах під час цього розслідування", - кажуть дослідники.
Гірше того, "часто трапляється так, що власна версія окремого пакету Chromium встановлюється з уже включеними шкідливими розширеннями"
Цей прийом дозволяє зловмисникові повністю обійти магазин Chrome і уникати будь-якого контролю безпеки. Оскільки більшість користувачів не визнають різниці між Chrome і Chromium, на запит зробити новий браузер браузером за замовчуванням вони часто роблять це, перетворюючи свій основний браузер на браузер, який із задоволенням продовжить завантажувати шкідливі розширення з інших джерел, пов’язаних з GalComm.
Крім того, командам корпоративної безпеки було б добре визнати, що зловмисні розширення браузера представляють значний ризик, тим більше, що наше цифрове життя зараз в основному здійснюється у браузері.
Крім того, ця загроза обходить ряд традиційних механізмів безпеки, які включають рішення безпеки для точок доступу, механізмів репутації домену, веб-проксі-серверів та пісочниць на основі хмар.
Таким чином, команди безпеки повинні постійно шукати тактику, прийоми та процедури щоб компенсувати технологічні прогалини », - радить компанія.
Наразі Google видалив 106 із 111 шкідливих розширень.
"Коли ми отримуємо попередження про розширення веб-магазину, які порушують нашу політику, ми вживаємо заходів і використовуємо ці випадки як навчальний матеріал для вдосконалення нашого автоматичного та ручного аналізу", - сказав Скотт Вестовер, речник Google.
"Ми регулярно скануємо, щоб знайти розширення, використовуючи подібні методи, код і поведінку", - додає він.
Але більшості користувачів важко визначити шкідливі розширення, оскільки вони, як правило, мають відносно велику кількість користувачів, коли вони були розроблені невідомими брендами.
Їх також мало критикують. Навпаки, вони отримують хороші оцінки та підраховують багато неправдивих думок від користувачів Інтернету. Крім того, кількість завантажень, ймовірно, завищена, щоб спокусити користувачів встановити їх, повідомляє Awake Security.
Нарешті, якщо ви хочете дізнатися більше про це Щодо виявлених розширень, ви можете перевірити деталі, перейшовши за таким посиланням.
Фуенте: https://awakesecurity.com