谷歌近日從Chrome web商店中移除了106餘個惡意Chrome擴展,這些擴展對石油、天然氣、金融和醫療衛生行業進行了大規模、全球性的監控活動,具體功能是收集敏感的用戶數據。
Awake安全公司在上周發布的一份報告中稱,攻擊者的基礎設施包括15160個惡意或可疑的域名和111個惡意或偽造的Chrome擴展,下載量超過3300萬次。惡意擴展偽裝成文件格式轉化的工具、安全瀏覽的工具,並通過虛假評論來誘使用戶(受害者)下載和安裝擴展。
完整報告下載地址參見:https://awakesecurity.com/white-papers/the-internets-new-arms-dealers-malicious-domain-registrars/
惡意擴展攻擊攻擊活動背後的攻擊者使用繞過技術來避免反惡意軟體解決方案將域名標記為惡意的,因此可以讓監控活動不被檢測到。
這100多個惡意擴展在Awake 5月報告給谷歌之前的3個月內,一共下載了近3300萬次。
惡意瀏覽器擴展都與一個網際網路域名註冊機構GalComm相關。但Galcomm並沒有參與該攻擊活動,也與該攻擊活動無關。目前還不清楚該監控攻擊活動背後的攻擊者。
Chrome web應用商店中欺騙性的擴展仍然是一個問題,惡意攻擊者會利用它來進行惡意軟體廣告和其他數據竊取活動。谷歌回應稱已經從應用商店中移除了有問題的瀏覽器擴展。完整列表參見:https://awakesecurity.com/wp-content/uploads/2020/06/GalComm-Malicious-Chrome-Extensions-Appendix-B.txt
統計數據表明其中一些擴展活躍在金融服務、石油和天然氣、媒體和娛樂、醫療和製藥、零售業、高科技、高等教育機構和政府組織。但目前還沒有這些擴展被用於收集敏感數據的證據。
早在今年2月,谷歌就移除了500多個惡意軟體相關的擴展。4月,谷歌又移除了49個擴展,並偽裝成加密貨幣錢包地址來竊取KeyStore信息。
研究人員建議用戶:
· 在Chrome瀏覽器上訪問"chrome://extensions" 來檢查擴展的權限;
· 移除那些不常用的瀏覽器擴展;
· 使用要求權限較少的擴展。
參考及來源:https://thehackernews.com/2020/06/chrome-browser-extensions-spying.html