行业新闻与博客

Google 删除了在全球窃听活动中使用的数十种恶意和伪造的 Chrome 扩展程序。

该威胁由 Awake Security 发现，该公司在过去三个月中检测到 111 个恶意扩展。上个月当它通知 Google 时，它声称 Chrome 网上应用店中有 79 家，该网站已被下载近 3300 万次。

由于明显的原因，很难计算不在官方市场上的其他人的数字。

它在一份详细调查的报告中说：“这些扩展程序可以截取屏幕截图，读取剪贴板，获取存储在 Cookie 或参数中的凭据令牌，获取用户的击键（如密码）等”。

“在分析了金融服务，石油和天然气，媒体和娱乐，医疗保健和制药，零售，高科技，高等教育和政府组织的 100 多个网络之后，Awake 发现，这些活动背后的参与者已经在几乎每个网络。”

假冒看上去合法，这些扩展都将收集到的数据发送回“合法”域名注册商 GalComm，Awake 认为“充其量是恶意活动的同谋”。

该活动的幕后工作人员努力确保成功率接近 100％，规避了企业安全代理，反病毒和其他防御措施。

“造成这种情况的一个原因似乎是过滤 / 阻止此攻击活动使用的请求的明智方法。如果客户端从宽带，电缆，光纤，移动或类似的固定线路 ISP 类型的网络连接到域，则将向客户端传递恶意负载。该报告解释说，这使所有普通用户和企业都可以通过该过滤器。”

“如果连接来自数据中心，Web 托管服务，传输网络，VPN 或代理，则请求将重定向到良性页面。”

在某些情况下，我们会全力绕过 Chrome 网上应用店。

“他们通过加载装有恶意插件的独立 Chromium 软件包来做到这一点，” Awake Security 说。

“由于大多数用户不了解 Chrome 和 Chromium 之间的区别，因此当系统提示您将新浏览器设置为默认浏览器时，他们经常会这么做–将其主浏览器设置为可以愉快地继续从其他 GalComm 相关来源加载恶意扩展的主浏览器。”

该报告认为该运动可能与国家赞助的活动有关。

本文由机器译制