Awake Security的研究人员告诉路透社,一项新发现的间谍软件努力通过下载3200万个Google领先的Chrome网络浏览器扩展来攻击用户,并强调技术行业未能保护浏览器,因为它们更多地用于电子邮件,工资单和其他敏感功能。
Alphabet Inc.的Google表示,上个月受到研究人员的警告后,已从其官方的Chrome网上应用店中删除了70多个恶意加载项。
Google发言人Scott Westover告诉路透社:“当我们收到网上商店中违反我们政策的扩展程序的警报时,我们将采取行动并将这些事件用作培训材料,以改进我们的自动化和手动分析。”
大多数免费扩展都旨在警告用户有关可疑网站或将文件从一种格式转换为另一种格式的警告。他们取而代之的是浏览历史和数据,这些历史和数据为访问内部业务工具提供了凭据。
根据下载量,Awake联合创始人兼首席科学家Gary Golomb表示,这是迄今为止影响最广的恶意Chrome商店活动。
Google拒绝讨论与以前的活动相比最新的间谍软件,损坏的广度,或者为什么尽管过去承诺会更紧密地监督产品,但为什么它没有自行检测并删除不良扩展。
目前尚不清楚谁在分发该恶意软件。Awake表示,开发人员在向Google提交扩展程序时提供了虚假的联系信息。
创建国家安全公司Carbon Black and Obsidian Security的前国家安全局工程师本·约翰逊(Ben Johnson)说:“任何将您带入某人的浏览器,电子邮件或其他敏感区域的活动,都会成为国家间谍活动和有组织犯罪的目标。”
Golomb说,这些扩展旨在避免被防病毒公司或评估Web域信誉的安全软件检测到。
研究人员发现,如果有人使用浏览器在家用计算机上浏览网络,它将连接到一系列网站并传输信息。使用公司网络(包括安全服务)的任何人都不会传输敏感信息,甚至不会到达网站的恶意版本。
Golomb说:“在这种情况下,这表明攻击者可以使用极其简单的方法来隐藏数千个恶意域。”
所有有问题的域名(总共超过15,000个彼此链接)是从以色列Galcomm的一个小型注册商那里购买的,正式注册为CommuniGal CommunicationLtd。
醒着说,加尔康应该知道发生了什么。
在电子邮件交流中,加尔康公司的所有者Moshe Fogel告诉路透社,他的公司没有做错任何事情。
Fogel写道:“ Galcomm不参与其中,也不参与任何恶意活动。” “你可以说完全相反,我们与执法和安全机构合作,尽我们所能防止。”
Fogel说,没有任何询问的记录。Golomb说,他在4月和5月再次向该公司的电子邮件地址举报了滥用行为,并要求提供可疑域的列表。路透社向他发送了该名单三次,但没有得到实质性回应。
负责注册服务商的互联网名称与数字地址分配机构(Internet Corp for Assigned Names and Numbers)表示,多年来,该公司很少收到有关Galcomm的投诉,也没有收到有关恶意软件的投诉。
尽管欺骗性扩展已成为问题多年,但情况越来越糟。他们最初喷出不需要的广告,现在更可能安装其他恶意程序或跟踪用户在哪里以及他们为政府或商业间谍所做的工作。
恶意开发人员长期以来一直使用Google的Chrome商店作为渠道。在十分之一的提交被认为是恶意的之后,谷歌在2018年表示将提高安全性,部分是通过增加人工审查来实现的。
但是在2月,独立研究员Jamila Kaya和Cisco Systems的Duo Security 发现了类似的Chrome活动,该活动从大约170万用户那里窃取了数据。Google加入了调查,发现了500个欺诈性扩展。
Google的Westover说:“我们定期进行扫频,以使用类似的技术,代码和行为来查找扩展名。”