刚刚,据外媒报道,AwakeSecurity的研究人员在谷歌Chrome扩展程序中发现了恶意软件。截至发稿,该软件已被下载32962951次,大量用户信息面临泄露风险。AwakeSecurity创始人加里·戈隆布(GaryGolomb)表示,该扩展程序会窃取用户的个人隐私,例如电子邮件、工资单和其他敏感信息。据统计,这是目前Chrome应用商店中下载次数最多的恶意软件,这意味着大量用户的隐私被泄露。AwakeSecurity的恶意软件分析研究人员发现该恶意软件是最近开发的一款软件——一种恶意域名注册工具。如上所述,该恶意软件已被近33+百万用户下载,很容易引发大规模安全事件。从下载量来看,这是迄今为止影响最深远的恶意行为。该活动通过跟踪分析,利用互联网域名注册和浏览器的某些功能,对多个地区、多个行业的用户数据进行监控和窃取。因此,根据初步判断,此次攻击应归类为网络间谍活动。研究表明,该犯罪活动是由互联网域名注册商CommuniGalCommunicationLtd.(GalComm)发起的。通过利用其作为域注册商的信任,GalComm已经启用了在研究人员检查的100多个网络中发现的恶意活动。此外,恶意活动可以绕过多层安全控制以保持隐藏状态,即使在具有大量网络安全投资的复杂组织中也是如此。在通过GalComm注册的26,079个可访问域中,有15,160个域(约60%)是恶意或可疑的,它们都托管了各种传统的恶意软件和基于浏览器的监控工具。通过各种规避技术,这些域避免了被大多数安全解决方案标记为恶意,从而使该活动不会被忽视,可以在此处找到这些域的列表。此次攻击中发现的恶意域仅在过去三个月,研究人员就收集了111个恶意或伪造的Chrome扩展程序,这些扩展程序使用攻击者命令和控制基础设施中使用的GalComm域或Loader页面用于扩展的GalComm域。这些扩展可以截取屏幕截图、读取剪贴板、获取存储在cookie或参数中的凭据令牌、获取用户的击键(例如密码)等。安装恶意Chrome扩展程序的诱饵示例迄今为止,这些恶意扩展程序的下载量至少为32,962,951次,而这个数字恰好是截至2020年5月在Chrome网上应用店中发现的数字。从历史上看,很少有扩展程序被下载超过1000万次.可以在此处找到这些恶意Chrome扩展程序的列表。此后,Awake与谷歌合作,从Chrome网上应用店中删除了这些扩展程序。在分析了金融服务、石油和天然气、媒体和娱乐、医疗保健和制药、零售、高科技、高等教育和政府组织的100多个网络后,Awake发现这些活动背后的攻击者几乎无处不在,持续不断的攻击机制已经建立。恶意Chrome扩展程序与传统恶意软件的交集为什么这次事件的破坏性如此之大?互联网及其基础设施的安全至关重要,如果有人利用该基础设施的关键组件,如域注册、浏览器等,将彻底动摇安全基础,这对组织和消费者都是一种风险.研究表明,这种恶意软件攻击已经彻底动摇了互联网及其基础设施的安全基础,使其从根本上不再信任浏览器的安全性。虽然本文侧重于分析这次大规模黑客活动的细节,但它也提出了一些有关互联网漏洞的基本问题。全球企业的首席信息官、首席信息官和安全团队都受到不同程度的安全审计、监督和问责。此次事故原因分析1、域名注册商ICANN(互联网名称与数字地址分配机构,非营利性国际组织)不对网络域名的申请负责,也很少主动监督。研究人员认为,像GalComm这样的注册商可以作为网络军火商有效运作,提供一个平台,各种网络攻击者可以通过该平台提供恶意站点、工具和扩展,而不会受到任何损害。惩治。2.新攻击形式出现浏览器取代Windows、MacOS等成为新的操作系统,Microsoft365、Google、Salesforce、Workday、Facebook、LinkedIn、Zoom等关键热门应用均运行在浏览器。这些应用程序都可以通过恶意浏览器扩展程序成为目标,类似于新型的Rootkit攻击,使攻击者几乎可以不受限制地访问我们的业务和个人生活。3.失败的安全防御这些活动已持续多年,而用户同时部署了许多安全解决方案。但事实证明它根本没有用,研究表明攻击者已经可以逃避检测,而在这个例子中,TTP似乎在许多传统的安全方法(例如安全策略)中都失败了。该事件凸显出科技公司未能保护广泛用于电子邮件、支付和其他敏感功能的浏览器。谁发起了攻击AwakeSecurity表示,尚不清楚谁是传播恶意软件的幕后黑手,因为开发人员向谷歌提供了虚假的联系信息。在收到研究人员的警告后,谷歌已从Chrome网上应用店中删除了70多个恶意扩展程序。谷歌发言人ScottWestover表示:“当我们收到一些违反相关政策的扩展程序时,我们立即采取行动将其删除,并将恶意软件用作培训材料。用于改进公司的自动化和手动分析。谷歌拒绝讨论新的间谍软件与以前的恶意软件有何不同,软件的范围,或者为什么他们没有主动删除它。据分析,恶意扩展程序以前没有出现过,它们以前没有造成危害,只是弹出广告。现在恶意扩展程序变得越来越危险,甚至可以监控用户的位置和个人隐私信息。2018年的一项研究发现,提交给Chrome应用商店的扩展程序中有十分之一带有恶意软件。
