下載超過 3200 萬次的111個 Chrome 的惡意擴充套件會竊個資

Awake Security 揭露,有項活動利用 Google Chrome 擴充套件和 Communigal Communication Ltd. (Galcomm) 的網域,追蹤使用者的活動與資料。在過去三個月中,研究人員發現有 111 個惡意或偽造的 Chrome 擴充功能,利用 Galcomm 網域作為其命令及控制 (C&C) 的基礎架構。撰寫本文時,這些惡意擴充功能的下載次數已至少達 3200 萬次。

該活動利用將近 15,160 個透過 Galcomm 註冊的網域,託管惡意程式與以瀏覽器為基礎的監控工具,數量占了此網域註冊商 26,079 個可訪問網域中的近 60%。在與通訊商 Reuters 的往來信件中,Galcomm 負責人 Moshe Fofel 堅稱:「Galcomm 並未牽涉其中,也不會參與任何惡意活動。」

影響產業含金融、石油和天然氣、媒體、健康照護、零售、科技、教育及政府部門

Moshe Fofel 寫道:「應該說正好相反,我們常與執法和安全機構合作,盡我們所能地預防惡意活動。」

這些攻擊成功躲避了諸如沙盒、端點安全解決方案、網域信譽評等引擎等機制的偵測。受到影響的產業包含金融、石油和天然氣、媒體、健康照護、零售、科技、教育及政府部門。

有些擴充功能可以從遠端伺服器載入程式碼

如我們去年四月發表的關於模組化廣告程式 DealPly、IsErik 和 ManageX 的研究所述,這些 Chrome 擴充功能是此活動生態系統的一環。我們也發現了以 Firefox 使用者為目標的惡意擴充功能。我們提到有些擴充功能可以從遠端伺服器載入程式碼,也盡可能談及 Galcomm 網域與該攻擊的連結。此外,我們還為此提供了根本原因分析 (RCA)。

Awake Security 也公布了該活動所使用的應用程式 ID 詳細列表。除了在我們的分析中曾碰到的幾個應用程式 ID,以下是另外兩個我們此前揭露過的應用程式 ID:

  • bgbeocleofdgkldamjapfgcglnmhmjgb
  • ncjbeingokdeimlmolagjaddccfdlkbd

這些可疑的惡意擴充功能會在未經使用者同意下,擷取螢幕截圖、讀取剪貼簿、蒐集使用者按鍵動作,以及竊取憑證。我們發表過一個關於變種惡意軟體的報告 (由趨勢科技偵測標記為 Trojan.JS.MANAGEX.A) 也觀察和分析出類似的行為,亦與此次活動有關。當時我們發現該惡意軟體設置了許可,允許存取 Chrome API 的下列項目:

  • 瀏覽紀錄
  • cookie
  • 螢幕畫面擷取
  • 地理位置
  • 歷史記錄
  • 管理

(完整列表請見我們的報告)

更早被偵測到的變種惡意軟體 ADW_DEALPLYAdware.JS.DEALPLY.SMMR 也同樣與此次攻擊有關。

因應惡意網域和擴充功能威脅的安全性系統

惡意擴充功能不斷演進,成為愈加嚴重的威脅,其漸漸發展出更具隱蔽性的技術,像是避開傳統安全機制以及從遠端伺服器載入程式碼。各組織除了專注於偵測外,也應長期不斷地監控這些威脅所採用的戰術、技巧及程序,以更了解其行為,並洞察如何保衛登錄點免於威脅。

託管式XDR 藉由蒐集並交叉關聯來自電子郵件、端點、伺服器、雲端工作負載及網路的活動資料,以保護系統。其運用 AI 與專家資安數據分析,不僅能實現早期偵測,更能深入了解這些攻擊的來源與行為。

Trend Micro™ Managed XDR 服務由我們經驗豐富的 Managed Detection and Response 分析師們負責,提供專業監測與分析。我們的專家能充分掌握攻擊行動的全貌以及攻擊如何在企業中擴散,因此能清楚解釋威脅的原因與造成的影響。

來源: Malicious Chrome Extensions, Domains Used to Steal User Data

相關文章:

Google 新一版的Chrome 將封殺Flash駭客利用 Twitter 發送 Meme迷因梗圖,藉圖像隱碼術( Steganography )躲避偵測BlackSquid 利用八種知名漏洞潛入伺服器與磁碟,並植入 XMRig 挖礦程式惡意Chrome擴充功能,組成 Droidclub殭屍網路,秀色情廣告、竊個資,還可能挖礦

原文來自 資安趨勢部落格