Mere end 500 ondsindet Chrome udvidelser er blevet fjernet fra Googles Webshop, som alle blev opdaget at være en del af en stor malvertising kampagne. Udvidelserne indeholdt ondsindede annoncer og blev opsugning brugernes browserdata til mistænkelige servere. Resultaterne kommer fra en fælles undersøgelse foretaget af sikkerhed forsker Jamila Kaya og Duo Security.
Hvordan har forskerne kommer på tværs af den ondsindede Chrome udvidelser?
Som forklaret af forskerne i deres oprindelige rapport, Jamila Kaya kontaktede Duo Security om ”en bred vifte af Chrome udvidelser hun identificeret til at være i drift på en måde, der i første omgang syntes legitim”. Men, den mere detaljerede analyse viste, at de forlængelser blev inficere brugernes browsere og exfiltrating data som en del af en større kampagne. I sandhed, udvidelser var en del af et netværk af copycat browserplugins:
Disse udvidelser blev almindeligt præsenteret som tilbyder reklame som en service. Jamila opdagede de var en del af et netværk af copycat plugins deler næsten identisk funktionalitet. gennem samarbejde, vi var i stand til at tage de få dusin udvidelser og udnytte CRXcavator.io at identificere 70 matcher deres mønstre på tværs 1.7 million brugere og eskalere bekymringer til Google.
Den gode nyhed er, at Google var hurtig til at reagere, og tog handlinger umiddelbart efter at være blevet underrettet om resultaterne. Når rapporten blev forelagt, tech gigant arbejdet på at validere resultaterne og gik på at tage fingeraftryk af de udvidelser,, forskerne delte. Som et resultat af dette samarbejde, Google var i stand til ”at søge i hele Chrome Webshop corpus at opdage og fjerne mere end 500 relaterede udvidelser".
Som en kendsgerning, Vi har udgivet adskillige specifikke artikler om lignende ondsindede browser udvidelser, der påvirker alle populære browsere (Firefox, Krom, Opera, Internet Explorer, Safari, Edge, etc.). Et eksempel på en sådan udvidelse er den såkaldte Maps Frontier.
For at installere på en brugers computer, Kort Frontier og lignende apps bruger forskellige strategier. Programmet kan automatisk installeret på din computer i form af et ekstra tilbud i et freeware installationspakken. Sådanne potentielt ondsindede udvidelser er ofte samlet i et freeware installatør af et tredjepartsprogram, og brugere ender med at downloade dem utilsigtet.
Men, malvertising er også en mulighed, som påpeget af forskerne, at afdækket de ondsindede udvidelser i Chrome Webshop:
Stadig mere ondsindede aktører vil bruge legitim internet aktivitet til obfuscate deres udnytte pipetter eller kommando og kontrol skemaer. En meget populær måde at gøre dette er at udnytte reklame cookies og de omdirigeringer deri til kontrol tilbagekald og undgå opdagelse. Denne teknik, kaldet ”malvertising” er blevet en mere og mere almindelig infektion vektor i Jamila erfaring, og er stadig svært at opdage i dag, trods fremtrædende i årevis.
Som et resultat af denne malvertising kampagne, mere end 1.7 million brugere blev ramt. Dette tal angiver skalaen, hvor udvidelser kan anvendes som et angreb vektor ganske effektivt. ”Som en del af god sikkerhed hygiejne, anbefaler vi brugere regelmæssigt revidere, hvad udvidelser de har installeret, fjerne dem, de ikke længere brug, og rapportere dem, de ikke anerkender,”Konkluderer forskerne.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: