より多い 500 悪意のあるChrome拡張機能がGoogleのウェブストアから削除されました, これらはすべて、大規模なマルバタイジングキャンペーンの一部であることが発見されました. 含まれている拡張機能 悪意のある広告 ユーザーの閲覧データを疑わしいサーバーに吸い上げていた. 調査結果は、セキュリティ研究者のJamilaKayaとDuoSecurityが実施した共同調査から得られたものです。.
研究者はどのようにして悪意のあるChrome拡張機能に出くわしましたか?
彼らの研究者によって説明されているように 元のレポート, Jamila Kayaは、「当初は正当と思われる方法で動作していると彼女が特定したさまざまなChrome拡張機能」についてDuoSecurityに連絡しました。. でも, より詳細な分析により、拡張機能がユーザーのブラウザに感染し、より大規模なキャンペーンの一環としてデータを盗み出していることが明らかになりました. 実は, 拡張機能は、コピーキャットブラウザプラグインのネットワークの一部でした:
これらの拡張機能は、サービスとしての広告を提供するものとして一般的に提示されました. Jamilaは、それらがほぼ同一の機能を共有するcopycatプラグインのネットワークの一部であることを発見しました. コラボレーションを通じて, 数十の拡張機能を使用して、CRXcavator.ioを使用して識別できました 70 全体のパターンを一致させる 1.7 百万人のユーザーとGoogleへの懸念のエスカレーション.
良いニュースは、Googleが迅速に対応したことです, 調査結果について通知を受けた直後に行動を起こしました. レポートが提出されたら, 技術の巨人は調査結果の検証に取り組み、拡張機能のフィンガープリントを作成しました, 研究者は共有しました. この協力の結果として, Googleは「Chromeウェブストアコーパス全体を検索して、 500 関連する拡張機能」.
実際のところ, すべての一般的なブラウザに影響を与える同様の悪意のあるブラウザ拡張機能に関する多数の特定の記事を公開しています (Firefox, クロム, オペラ, インターネットエクスプローラ, サファリ, 角, 等). このような拡張機能の例は、いわゆるマップフロンティアです。.
ユーザーのコンピューターにインストールするため, マップフロンティア および同様のアプリは異なる戦略を使用します. プログラムは、フリーウェアインストールパッケージの追加オファーの形でコンピュータに自動的にインストールできます. このような潜在的に悪意のある拡張機能は、多くの場合、サードパーティプログラムのフリーウェアインストーラーにバンドルされています, そしてユーザーは意図せずにそれらをダウンロードすることになります.
でも, マルバタイジングもオプションです, Chromeウェブストアで悪意のある拡張機能を発見した研究者が指摘したように:
ますます悪意のある攻撃者は、正当なインターネットアクティビティを使用して、エクスプロイトドロッパーまたはコマンドアンドコントロールスキーマを難読化します。. これを行うための非常に一般的な方法は、広告Cookieとその中のリダイレクトを利用して、コールバックを制御し、検出を回避することです。. このテクニック, 「マルバタイジング」と呼ばれるものは、ジャミラの経験でますます一般的な感染ベクトルになっています, そして今日でも検出するのは難しい, 何年もの間目立っていたにもかかわらず.
このマルバタイジングキャンペーンの結果として, より多い 1.7 100万人のユーザーが影響を受けました. この数値は、ブラウザ拡張機能を攻撃ベクトルとして非常に効果的に使用できる規模を示しています。. „良好なセキュリティ衛生の一環として, インストールした拡張機能を定期的に監査することをお勧めします, 使用しなくなったものを削除する, 認識していないものを報告します,」と研究者たちは結論付けています.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: