Công ty an ninh mạng Awake Security gần đây đã được công bố người đã thông báo cho Google về sự tồn tại của 111 tiện ích mở rộng Chrome độc hại, đã được tải xuống 32,9 triệu lần và Google gần đây đã báo cáo rằng 106 trong số các tiện ích mở rộng này không còn khả dụng trong Cửa hàng Chrome trực tuyến và những ứng dụng đang được sử dụng đã bị vô hiệu hóa.
Phát hiện này diễn ra vài tháng sau khi Duo Security báo cáo rằng 500 tiện ích mở rộng đã bí mật tải xuống dữ liệu duyệt web từ hàng triệu người dùng kể từ tháng 2019 năm XNUMX.
Theo Awake Security, những phần mở rộng này có thể được phát triển bởi một nhà phát triển duy nhất. Điểm chung của họ là tất cả các hoạt động của họ được liên kết với GalComm, một công ty đăng ký tên miền Internet.
Tuy nhiên, Awake Security cho biết GalComm không đứng sau của chiến dịch tuyệt vời này, nhưng lẽ ra anh ta vẫn phải biết chuyện gì đang xảy ra.
“Trong số 26.079 tên miền có thể truy cập được GalComm đăng ký, 15.160 tên miền, hoặc gần 60%, là độc hại hoặc đáng ngờ. Chúng tôi cũng đã tìm thấy và đưa ra bằng chứng cho thấy những tên miền này được sử dụng để lưu trữ phần mềm độc hại truyền thống và các công cụ giám sát trình duyệt ”, công ty bảo mật cho biết.
Về phần mình, chủ sở hữu cơ quan đăng ký Israel, Moshe Fogel, cho biết:
"GalComm không liên quan và không phải là phụ kiện cho bất kỳ hoạt động độc hại nào." Tuy nhiên, họ nói rằng hầu hết các tên miền này đã không hoạt động và họ sẽ tiếp tục điều tra phần còn lại.
Bên cạnh đó, hầu hết các tiện ích mở rộng này chia sẻ cùng một đồ họa và cùng một cơ sở mã. Ví dụ, họ cung cấp các dịch vụ như ngăn chặn các trang web nguy hiểm hoặc chuyển đổi tệp.
Về phần mình, Các tiện ích mở rộng ngăn chặn phần mềm độc hại không hiệu quả, các nhà nghiên cứu bảo mật tỉnh thức lưu ý. Sau khi kiểm tra một trong số chúng, ByteFence, họ nhận thấy rằng nó đã phân loại một số trang web độc hại là "an toàn".
ByteFence là phiên bản cải tiến của một tiện ích mở rộng khác có tên là Reason Core Security.
Các nhà nghiên cứu cho biết: “Chúng tôi phát hiện ra rằng nó có liên quan đến phần mềm độc hại tự nhiên trong quá trình điều tra này.
Tệ hơn nữa, "thường xảy ra trường hợp phiên bản tùy chỉnh của gói Chromium độc lập được cài đặt với các tiện ích mở rộng độc hại đã được bao gồm"
Kỹ thuật này cho phép kẻ tấn công bỏ qua hoàn toàn cửa hàng Chrome và trốn tránh bất kỳ biện pháp kiểm soát an ninh nào. Vì hầu hết người dùng không nhận ra sự khác biệt giữa Chrome và Chromium, khi được yêu cầu đặt trình duyệt mới làm trình duyệt mặc định của họ, họ thường làm như vậy, biến trình duyệt chính của họ thành một trình duyệt sẽ vui vẻ tiếp tục tải các tiện ích mở rộng độc hại từ các nguồn liên quan đến GalComm khác.
Hơn nữa, các nhóm bảo mật của công ty sẽ làm tốt khi thừa nhận rằng các tiện ích mở rộng trình duyệt độc hại gây ra rủi ro đáng kể, đặc biệt là vì cuộc sống kỹ thuật số của chúng ta hiện nay chủ yếu được thực hiện trong trình duyệt.
Bên cạnh đó, mối đe dọa này vượt qua một số cơ chế bảo mật truyền thống, bao gồm các giải pháp bảo mật cho điểm truy cập, công cụ danh tiếng miền, máy chủ proxy web và hộp cát dựa trên đám mây.
Do đó, các đội an ninh phải liên tục tìm kiếm các chiến thuật, kỹ thuật và quy trình để bù đắp những khoảng trống về công nghệ ”, công ty tư vấn.
Cho đến nay, Google đã loại bỏ 106 trong số 111 tiện ích mở rộng độc hại.
Scott Westover, phát ngôn viên của Google cho biết: "Khi chúng tôi được cảnh báo về các tiện ích mở rộng Cửa hàng trực tuyến vi phạm chính sách của chúng tôi, chúng tôi sẽ hành động và sử dụng những sự cố này làm tài liệu đào tạo để cải thiện phân tích thủ công và tự động của chúng tôi".
Ông cho biết thêm: “Chúng tôi thường xuyên quét để tìm các tiện ích mở rộng sử dụng các kỹ thuật, mã và hành vi tương tự.
Nhưng hầu hết người dùng gặp khó khăn trong việc xác định các tiện ích mở rộng độc hại vì chúng có xu hướng có một số lượng người dùng tương đối lớn, khi chúng được phát triển bởi các thương hiệu không xác định.
Họ cũng ít bị chỉ trích. Ngược lại, họ nhận được điểm tốt và nhiều ý kiến sai trái từ người dùng Internet. Ngoài ra, số lượng tải xuống có thể đã được tăng cao để thu hút người dùng cài đặt chúng, theo Awake Security.
Cuối cùng, nếu bạn muốn biết thêm về nó Về các tiện ích mở rộng đã được phát hiện, bạn có thể kiểm tra chi tiết bằng cách truy cập liên kết sau.
Fuente: https://awakesecurity.com