安全厂商发现100多个浏览器扩展暗中搜集用户信息,疑为大规模监控行动的一部分,并警告有将近80个已在Chrome Web Store软件市场上架,并有3300万次下载。
安全厂商Awake Security威胁研究小组侦测到的一宗大规模全球监控行动和一家域名注册和浏览器扩展有关。他们发现2.6万个域名是向以色列域名注册商GalComm有关,其中有近6成,超过1.5万域名是用来托管各种传统恶意程序或浏览器有关的监控工具。这些域名使用多种规避技俩,防止被安全产品标注为恶意域名来掩护监控行动
研究人员说,GalComm之流的域名注册商可能具备网络军火交易商的功能,提供犯罪组织或国家经营恶意网站、托管工具和扩展程序的平台,却能不受监控或撇清责任。不过GalComm否认并表示这些可疑域名中有1/4和该公司没有关联,有的也早就删除。
此外,研究人员还发现,过去三个月内就侦测到有111个恶意或假Chrome扩展程序连接Galcomm域名攻击者的C&C服务器或扩展程序的下载网页。这些扩展程序的监控行为包括截取屏幕画面、读取剪贴板、搜集存储在cookies或参数中的验证令符、窃取用户键击(如密码)等等。
这100多个可疑扩展程序中有近八成,共79个在Chrome Web Store上架。研究人员还发现,这些恶意程序的作者先以干净无害的扩展程序上传通过检验,之后再以有恶意程序代码的版本更新。而由于Chrome(及Microsoft Edge)的用户众多,截至5月为止这些扩展程序的下载量高达3300万次,其中几个的下载次数甚至超过千万。
虽然接获Awake Security通知后,Google已将这些问题扩展程序下架,但研究人员说,浏览器已经取代Windows、MacOS成为新的操作系统,而恶意浏览器扩展程序来监控Microsoft 365、Google、Salesforce、Facebook、LinkedIn或Zoom等成为新的rootkit。这也让黑客使用不引人耳目的手法、技术和策略,成功躲过传统安全防护产品如信誉评级引擎、沙箱、端点侦测与回应产品的侦测。
研究人员分析,这个大规模监控行动背后的组织,已经潜入将近100多家企业网络中,产业别波及金融、石油和天然气、媒体与娱乐、健康看护与制药、零售、高科技、高等教育和政府部门,其中不乏部署最严密安全解决方案的组织。
安全公司建议企业应仔细盘查公司计算机上的流氓浏览器扩展程序,而这只是黑客躲避传统安全产品、域名信誉评级、Web proxies和云计算沙箱等安全防护机制手法之一。IT部门应提高警觉日新月异的攻击策略、手法和程序,来补强这些方案的不足。