Plus que 500 extensions Chrome malveillants ont été retirés de Web Store de Google, qui ont tous été découverts à faire partie d'une grande campagne de malvertising. Les extensions contenues annonces malveillantes et ont été siphonner les données de navigation des utilisateurs aux serveurs suspects. Les résultats proviennent d'une enquête conjointe menée par le chercheur en sécurité Kaya et Jamila sécurité Duo.
Comment les chercheurs viennent à travers les extensions Chrome malveillants?
Comme expliqué par les chercheurs dans leur rapport original, Kaya Duo Jamila contact de sécurité à propos de « une variété d'extensions Chrome elle a identifié à se trouver dans une manière qui semblait initialement légitime ». Cependant, l'analyse plus détaillée a révélé que les extensions ont été infectent les navigateurs des utilisateurs et des données exfiltration dans le cadre d'une vaste campagne. En vérité, les extensions faisaient partie d'un réseau de plugins de navigateur copycat:
Ces extensions ont été souvent présentés comme offrant la publicité en tant que service. Jamila a découvert qu'ils faisaient partie d'un réseau de plugins copycat partage des fonctionnalités presque identiques. Grâce à la collaboration, nous avons pu prendre les quelques extensions douzaine et utiliser CRXcavator.io pour identifier 70 correspondant à leurs modèles à travers 1.7 millions d'utilisateurs et Escalate préoccupations à Google.
Les bonnes nouvelles sont que Google n'a pas tardé à répondre, et a pris des mesures immédiatement après avoir été informé au sujet des résultats. Une fois que le rapport a été présenté, le géant technologique a travaillé pour valider les résultats et a continué à les empreintes digitales extensions, les chercheurs ont partagé. En conséquence de cette coopération, Google a pu «pour rechercher l'ensemble du corpus Chrome Web Store pour découvrir et retirer plus de 500 extensions connexes".
En réalité, nous avons publié de nombreux articles spécifiques sur les extensions de navigateur malveillants similaires qui affectent tous les navigateurs populaires (Firefox, Chrome, Opéra, Internet Explorer, Safari, Bord, etc). Un exemple d'une telle extension est la soi-disant carte Frontier.
Pour installer sur l'ordinateur d'un utilisateur, cartes Frontier et des applications similaires utilisent différentes stratégies. Le programme peut être automatiquement installé sur votre ordinateur sous la forme d'une offre supplémentaire dans un package d'installation freeware. Ces extensions potentiellement malveillants sont souvent regroupés dans un programme d'installation freeware d'un programme tiers, et les utilisateurs finissent par les télécharger sans le vouloir.
Cependant, malvertising est également une option, comme l'a souligné par les chercheurs qui ont découvert les extensions malicieuses dans Chrome Web Store:
De plus en plus des acteurs malveillants utiliseront l'activité Internet légitime pour obscurcir leur exploit ou des schémas de droppers commandement et de contrôle. Une façon très populaire de le faire est d'utiliser les cookies publicitaires et les y redirige vers callbacks de contrôle et éviter la détection. cette technique, appelé « activité malveillante liée » est devenu un vecteur d'infection de plus en plus courant dans l'expérience de Jamila, et il est encore difficile à détecter aujourd'hui, en dépit d'être important depuis des années.
A la suite de cette campagne malvertising, plus que 1.7 millions d'utilisateurs ont été touchés. Ce chiffre indique l'échelle à laquelle les extensions du navigateur peuvent être utilisés comme vecteur d'attaque très efficace. «Dans le cadre d'une bonne hygiène de sécurité, Nous recommandons aux utilisateurs régulièrement vérifier ce que les extensions qu'ils ont installé, supprimer ceux qu'ils ne sont plus l'utilisation, et ceux du rapport qu'ils ne reconnaissent pas,» Concluent les chercheurs.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: