Google недавно удалила еще 106 расширений из своего магазина расширений Chrome после незаконного сбора этими расширениями конфиденциальных пользовательских данных, в рамках «масштабной глобальной кампании по слежке», нацеленной на нефтяной, газовый, финансовый сектора промышленности, а также на предприятия сферы здравоохранения.
Компания «Awake Security» обнародовала результаты своего исследования в конце прошлой недели. Сообщается, что вредоносные расширения браузера были привязаны к одному регистратору интернет-доменов «GalComm». Кто стоит за шпионскими программами пока не выяснено.
«Задействованные в шпионской кампании расширения Chrome осуществляли снимки экрана устройства-жертвы, загрузку вредоносных программ, чтение буфера обмена, активный сбор токенов и вводимых пользователем данных» - сообщает «Awake Security».
Рассматриваемые расширения представляли собой утилиты для преобразования файлов из одного формата в другой и инструменты для безопасного просмотра веб-страниц. В магазине расширений были размещены тысячи поддельных обзоров для усыпления бдительности пользователей при их установке.
Атакующим в течение длительного времени удавалось избегать попадания своих доменов в черные списки популярных систем защиты от вредоносных программ, тем самым, позволяя кампании наблюдения оставаться незамеченной.
В общей сложности, расширения были загружены почти 33 миллиона раз за три месяца до момента, как «Awake Security» сообщила об атаке «Google» в мае этого года.
Поисковый гигант, в ответ на раскрытие атаки, деактивировал проблемные расширения браузера. С полным списком идентификаторов затронутых расширений можно ознакомиться здесь.
Данные телеметрии показали, что некоторые из этих расширений были активны в сетях компаний «сферы финансовых услуг, нефтегазового сектора, медиа и развлечений, здравоохранения и фармацевтики, розничной торговли, высоких технологий, высшего образования и государственных организаций». Хотя нет никаких доказательств того, что они фактически использовались для сбора конфиденциальных данных.
«Galcomm» не участвовала и не участвует в какой-либо шпионской или мошеннической деятельности» - сообщил новостному агентству Reuters владелец израильского регистратора Мойше Фогель.
Расширения Chrome по-прежнему остаются популярным вектором атак, который злоумышленники используют для различных вредоносных активностей и кампаний по краже данных.
Ранее, в феврале этого года, компания «Google» удалила 500 вредоносных расширений после того, как их поймали на сборе данных для незаконной рекламы и отправке истории активности пользователей на контролируемые злоумышленниками сервера. Затем, в апреле, «Google» заблокировала еще один набор из 49 расширений, которые маскировались под кошельки криптовалюты для кражи информации из хранилищ ключей и сертификатов Keystore.
Рекомендуем пользователям тщательно настраивать разрешения для расширений браузера с помощью «chrome: // extensions» в браузере Chrome, удалять редко используемые расширения браузера или использовать альтернативные программные продукты, которые для работы не требуют излишнего доступа к активности браузера.
Перевод сделан со статьи https://thehackernews.com/
