Awake安全公司在上周发布的一份报告中称,攻击者的基础设施包括15160个恶意或可疑的域名和111个恶意或伪造的Chrome扩展,下载量超过3300万次。恶意扩展伪装成文件格式转化的工具、安全浏览的工具,并通过虚假评论来诱使用户(受害者)下载和安装扩展。
完整报告下载地址参见:
https://awakesecurity.com/white-papers/the-internets-new-arms-dealers-malicious-domain-registrars/
恶意扩展攻击攻击活动背后的攻击者使用绕过技术来避免反恶意软件解决方案将域名标记为恶意的,因此可以让监控活动不被检测到。
这100多个恶意扩展在Awake5月报告给谷歌之前的3个月内,一共下载了近3300万次。
恶意浏览器扩展都与一个互联网域名注册机构GalComm相关。但Galcomm并没有参与该攻击活动,也与该攻击活动无关。目前还不清楚该监控攻击活动背后的攻击者。
Chromeweb应用商店中欺骗性的扩展仍然是一个问题,恶意攻击者会利用它来进行恶意软件广告和其他数据窃取活动。谷歌回应称已经从应用商店中移除了有问题的浏览器扩展。完整列表参见:
https://awakesecurity.com/wp-content/uploads/2020/06/GalComm-Malicious-Chrome-Extensions-Appendix-B.txt。
统计数据表明其中一些扩展活跃在金融服务、石油和天然气、媒体和娱乐、医疗和制药、零售业、高科技、高等教育机构和政府组织。但目前还没有这些扩展被用于收集敏感数据的证据。
早在今年2月,谷歌就移除了500多个恶意软件相关的扩展。4月,谷歌又移除了49个扩展,并伪装成加密货币钱包地址来窃取KeyStore信息。
研究人员建议用户:
在Chrome浏览器上访问"chrome://extensions"来检查扩展的权限;
移除那些不常用的浏览器扩展;
使用要求权限较少的扩展。