研究人員發現1百多個惡意或假Chrome擴充程式,會暗中擷取用戶螢幕畫面、讀取剪貼簿、蒐集儲存在cookies或參數中的驗證令符或竊取鍵擊(如密碼)。(示意圖,圖片來源/ Awake Security )

安全廠商發現100多個瀏覽器擴充暗中蒐集用戶資訊,疑為大規模監控行動的一部份,並警告有將近80個已在Chrome Web Store軟體市集上架,並有3300萬次下載。

安全廠商 Awake Security 威脅研究小組偵測到的一宗大規模全球監控行動和一家網域註冊和瀏覽器擴充有關。他們發現2.6萬個網域是向以色列網域註冊商GalComm有關,其中有近6成,超過1.5萬網域是用來代管各種傳統惡意程式或瀏覽器有關的監控工具。這些網域使用多種規避技倆,防止被安全產品標註為惡意網域來掩護監控行動

研究人員說,GalComm之流的網域註冊商可能具備網路軍火交易商的功能,提供犯罪組織或國家經營惡意網站、代管工具和擴充程式的平台,卻能不受監控或撇清責任。不過GalComm否認並表示這些可疑網域中有1/4和該公司沒有關聯,有的也早就刪除。

此外,研究人員還發現,過去三個月內就偵測到有111個惡意或假Chrome擴充程式連結Galcomm網域攻擊者的C&C伺服器或擴充程式的下載網頁。這些擴充程式的監控行為包括擷取螢幕畫面、讀取剪貼簿、蒐集儲存在cookies或參數中的驗證令符、竊取用戶鍵擊(如密碼)等等。

這100多個可疑擴充程式中有近八成,共79個在Chrome Web Store上架。研究人員還發現,這些惡意程式的作者先以乾淨無害的擴充程式上傳通過檢驗,之後再以有惡意程式碼的版本更新。而由於Chrome(及Microsoft Edge)的用戶眾多,截至5月為止這些擴充程式的下載量高達3300萬次,其中幾個的下載次數甚至超過千萬。

雖然接獲Awake Security通知後,Google已將這些問題擴充程式下架,但研究人員說,瀏覽器已經取代Windows、MacOS成為新的作業系統,而惡意瀏覽器擴充程式來監控Microsoft 365、Google、Salesforce、Facebook、LinkedIn或Zoom等成為新的rootkit。這也讓駭客使用不引人耳目的手法、技術和策略,成功躲過傳統安全防護產品如信譽評等引擎、沙箱、端點偵測與回應產品的偵測。

研究人員分析,這個大規模監控行動背後的組織,已經潛入將近100多家企業網路中,產業別擴及金融、石油和天然氣、媒體與娛樂、健康照護與製藥、零售、高科技、高等教育和政府部門,其中不乏部署最嚴密安全解決方案的組織。

安全公司建議企業應仔細盤查公司電腦上的流氓瀏覽器擴充程式,而這只是駭客躲避傳統安全產品、網域信譽評等、Web proxies和雲端沙箱等安全防護機制手法之一。IT部門應提高警覺日新月異的攻擊策略、手法和程序,來補強這些方案的不足。

熱門新聞

Advertisement