Awake安全公司在上周發(fā)布的一份報告中稱,攻擊者的基礎設施包括15160個惡意或可疑的域名和111個惡意或偽造的Chrome擴展,下載量超過3300萬次。惡意擴展偽裝成文件格式轉(zhuǎn)化的工具、安全瀏覽的工具,并通過虛假評論來誘使用戶(受害者)下載和安裝擴展。
完整報告下載地址參見:
https://awakesecurity.com/white-papers/the-internets-new-arms-dealers-malicious-domain-registrars/
惡意擴展攻擊攻擊活動背后的攻擊者使用繞過技術來避免反惡意軟件解決方案將域名標記為惡意的,因此可以讓監(jiān)控活動不被檢測到。
這100多個惡意擴展在Awake5月報告給谷歌之前的3個月內(nèi),一共下載了近3300萬次。
惡意瀏覽器擴展都與一個互聯(lián)網(wǎng)域名注冊機構GalComm相關。但Galcomm并沒有參與該攻擊活動,也與該攻擊活動無關。目前還不清楚該監(jiān)控攻擊活動背后的攻擊者。
Chromeweb應用商店中欺騙性的擴展仍然是一個問題,惡意攻擊者會利用它來進行惡意軟件廣告和其他數(shù)據(jù)竊取活動。谷歌回應稱已經(jīng)從應用商店中移除了有問題的瀏覽器擴展。完整列表參見:
https://awakesecurity.com/wp-content/uploads/2020/06/GalComm-Malicious-Chrome-Extensions-Appendix-B.txt。
統(tǒng)計數(shù)據(jù)表明其中一些擴展活躍在金融服務、石油和天然氣、媒體和娛樂、醫(yī)療和制藥、零售業(yè)、高科技、高等教育機構和政府組織。但目前還沒有這些擴展被用于收集敏感數(shù)據(jù)的證據(jù)。
早在今年2月,谷歌就移除了500多個惡意軟件相關的擴展。4月,谷歌又移除了49個擴展,并偽裝成加密貨幣錢包地址來竊取KeyStore信息。
研究人員建議用戶:
在Chrome瀏覽器上訪問"chrome://extensions"來檢查擴展的權限;
移除那些不常用的瀏覽器擴展;
使用要求權限較少的擴展。
