全球监视活动中使用的数十个恶意 Chrome 扩展

Awake Security公司透露,在一次大规模的全球监视活动中使用的恶意Chrome扩展在删除之前已经被数百万人下载。

该活动影响了许多地区和行业的用户,利用互联网域名注册和用户对浏览器的依赖来监视他们并大量窃取数据。

Awake对这一活动的调查显示,犯罪活动是由互联网域名注册商CommuniGal Communication Ltd(GalComm)教唆的:通过GalComm注册的26079个可访问域名中,有15160个是恶意的或可疑的。

15160个嫌疑犯或恶意域名中的部分活动都是被操控的:它们在过期后立即通过GalComm注册。因此,攻击者可以击败寻找全新域的检测机制。

袭击者花了很多力气来隐藏他们的活动。他们不仅设法绕过了组织内的多层安全控制,而且避免了大多数安全解决方案将其域标记为恶意域。

在过去的三个月里,Awake 发现了111个恶意或伪造的Chrome扩展,这些扩展使用GalComm域作为攻击者的命令和控制基础设施和/或加载页。应用程序可以参与恶意活动,例如截图、读取剪贴板、获取凭据令牌或记录用户击键等。

今年5月,Chrome网店发现了79个扩展,而Awake 发现,他们在下载之前收集了大约3300万次下载。安全公司发布了这些恶意Chrome扩展的TSV id列表。

Awake 的安全研究人员发现,活动背后的威胁因素设法在金融服务、石油和天然气、媒体和娱乐、医疗和制药、零售、高科技、高等教育和政府部门的大约100个组织网络中建立了持久的立足点。

这些扩展起初看起来是良性的,但攻击者很可能在干净的版本获得批准后向它们推送了恶意的有效负载。在某些情况下,用户被诱骗从看起来专业的网站安装恶意扩展,另一些则被先前安装的广告软件下载,而有些则被多次添加到Chrome网店中,只有一些变体。

一些恶意的扩展将完全绕过Chrome Web商店,通过包含在其他扩展中的一个自包含Chrome包,该包诱使用户在第一次运行出现提示时默认使用一个新的恶意浏览器。与Chrome不同,Chrome浏览器接受来自任何来源的扩展,而不仅仅是Chrome Web商店中的扩展。

“这些流氓浏览器似乎是由受害者系统上已有的可能不需要的程序(pup)安装的。这是非常有效的,因为流氓浏览器是自包含的,这意味着除了在本地执行一个程序的能力之外,几乎没有其他权限是必要的。”Awake解释说。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!