Google heeft opnieuw een sweep gemaakt over de aangeboden extensies in de Chrome Web Store door te verwijderen 106 plug-ins van de officiële browserrepository. Ze kunnen niet langer worden gedownload en geïnstalleerd door eindgebruikers, aangezien is bevestigd dat ze viruscode bevatten.
Chrome Web Store heeft gehad 106 Malware-extensies verwijderd door Google
Een totaal van 106 extensies zijn verwijderd uit de Chrome Web Store na een standaardaudit door Google. Het bedrijf heeft een beleid om de plug-ins regelmatig handmatig of automatisch op viruscode te inspecteren. De acties zijn uitgevoerd naar aanleiding van beveiligingsrapporten die aan het bedrijf zijn verstrekt (hetzij door mensen of bedrijven) dat deze extensies inbegrepen opdringerige modules voor het verzamelen van informatie. Volgens de gegevens waren deze extensies eigenlijk gegevenskapers die persoonlijke informatie over de gebruikers verzamelde.
Behalve de standaard procedure voor het kapen van gegevens, bleken deze extensies ook te creëren hardnekkige infecties binnenkant van de computers. In het geval van bedrijfssystemen en geïnfecteerde browsers van medewerkers kan dit worden gebruikt voor sabotage of bedrijfsspionage. Google heeft de extensieontwikkelaars automatisch gewaarschuwd en gebruikt in sommige gevallen zelfs de gemelde incidenten als trainingsmateriaal dat wordt toegevoerd aan het geautomatiseerde beveiligingswaarschuwingssysteem.
Het doel van een groot deel van de browserextensies is om zichzelf op de markt te brengen als legitieme tools die nuttige functionaliteit bieden - veel van hen zijn bestandsconversieprogramma's, rapporteren over gegevensinvoer of rekenmachinefuncties of zoekopdrachten bieden. Uit de informatie blijkt dat het totaal aantal gedownloade extensies bedraagt 32 miljoen keer.
Beveiligingsrapporten geven aan dat de verwijderde browserextensies onderdeel kunnen zijn van een wereldwijde spionagecampagne, door aan te nemen dat ze door een of meer hackgroepen kunnen worden gepland. Het analyseren van de identificatiekenmerken van de extensies heeft aangetoond dat ze verbinding hebben gemaakt met een internetdomeinregistreerder die wordt gebeld CommuniGal Communication Ltd. (GalComm). Het bedrijf weigerde op de hoogte te zijn van de infecties en verklaarde zich niet bewust te zijn van de kwaadaardige activiteit. Blijkbaar gebruiken hackersgroepen domeinnamen die bij het bedrijf zijn geregistreerd om te hosten command and control servers en andere infrastructuur die door de extensies wordt gebruikt. Afhankelijk van de exacte bevestiging kunnen de malware-extensies verschillend gedrag en verschillende acties vertonen:
- Screenshot verkrijgen
- Gegevensverzameling op het klembord
- geloofsbrieven Diefstal
- Keylogger-activering
- Installatie van virussen
De beschikbare informatie laat dat zien meer dan 100 netwerken werden misbruikt wat heeft geresulteerd in effectieve intrusies in bedrijfstakken zoals olie- en gasbedrijven, banken, zorgverleners, farmaceutische bedrijven en overheidsinstanties. De uitgevoerde aanvallen laten eens te meer zien hoe ‘simpel” infecties zoals malware-browserextensies kunnen een bedrijf aanzienlijke schade toebrengen.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: