突發!谷歌Chrome瀏覽器被曝發生大規模用戶信息泄漏事件
剛剛,據外媒報道,Awake Security的研究人員發現在Google Chrome擴展程序中發現了一個惡意軟件,截止發稿時,該軟件已經被下載了32962951次,大量用戶信息面臨泄漏的危險。Awake Security創始人加里·戈洛姆(Gary Golomb)表示,該擴展程序會竊取用戶的個人隱私,比如電子郵件、工資單和其他敏感信息。根據統計, 這也是Chrome應用商店中目前被下載的最多的惡意軟件,這意味著有大量用戶的隱私被泄露了。
惡意軟件分析
Awake Security的研究人員發現該惡意軟件是一個最近剛被開發的軟件——惡意域名注冊工具。
如上所述,該惡意軟件已被將近3300多萬用戶下載,這很容易發生大規模的安全性事件。從下載數量來看,這是迄今為止影響最深遠的惡意行為。通過跟蹤分析,該活動利用互聯網域名注冊和瀏覽器功能所具備的某些功能來監控和竊取來自多個地區和行業細分市場的用戶數據。所以初步判斷,該攻擊應該被歸類為網絡間諜活動。研究表明,這種犯罪活動是由一個互聯網域名注冊商CommuniGal Communication Ltd. (GalComm)發起還有。
通過利用其作為域名注冊商的信任,GalComm已經啟用了研究人員 檢查過的100多個網絡中發現的惡意活動。此外,惡意活動可以繞過多層安全控制來隱藏起來,即使是在擁有大量網絡安全投資的復雜組織中也是如此。
在通過GalComm注冊的26079個可訪問域中,15160個域(約60%)是惡意或可疑的,它們都托管著各種傳統的惡意軟件和基于瀏覽器的監控工具。通過各種逃避技術,這些域已避免被大多數安全解決方案標記為惡意域,從而使該攻擊活動不受關注,這些域的列表可以在這里找到。
在此次攻擊中發現的惡意域名
僅在過去的三個月中,研究人員就使用GalComm域收集了111個惡意或偽造的Chrome擴展程序,這些域用于攻擊者的命令和控制基礎結構或用作擴展程序的加載程序頁面。這些擴展名可以截取屏幕截圖,讀取剪貼板,獲取存儲在cookie或參數中的憑據令牌,獲取用戶的擊鍵(例如密碼)等。
引誘安裝惡意Chrome擴展程序的示例
迄今為止,這些惡意擴展的下載量至少為32962951,而這個數量僅僅是截至2020年5月在Chrome Web Store中發現的數量。歷史上,很少有擴展被下載超過1000萬次。這些惡意Chrome擴展的列表可以在這里找到。從那以后,Awake就與谷歌合作,從Chrome網上商店刪除了這些擴展。
在分析了金融服務,石油和天然氣,媒體和娛樂,醫療保健和制藥,零售,高科技,高等教育和政府組織的100多個網絡之后,Awake發現,這些活動背后的攻擊者幾乎在每個地方都建立了一個持久的攻擊機制。
惡意Chrome擴展和傳統惡意軟件的交集
為什么這次事故的危害會非常非常嚴重?
互聯網及其基礎設施的安全至關重要,如果有人利用這個基礎設施的關鍵組件,比如域注冊、瀏覽器等,就會徹底動搖了安全的基礎,對組織和消費者都是一種風險。研究顯示,此次的惡意軟件攻擊就徹底動搖了互聯網及其基礎設施的安全的根本,讓不再對瀏覽器的安全產生根本性信任。
雖然本文的重點是分析這場大規模黑客活動的細節,但它也引出了一些關于互聯網脆弱性的基本問題。世界各地企業的首席信息官、首席信息官和安全團隊都要接受不同程度的安全審計、監督和問責。
發生這次事故的原因分析
1. 域注冊商
ICANN(互聯網名稱與數字地址分配機構,是一個非營利性的國際組織)對網路域名的申請不夠盡責,很少能做到積極的去監督。研究人員認為,像GalComm這樣的注冊服務商可以像網絡武器經銷商一樣有效地運作,從而提供了一個平臺,各種網絡攻擊者可以通過該平臺提供惡意站點,工具和擴展,而不會受到任何懲罰。
2. 新的攻擊形式的出現
瀏覽器已經取代Windows、MacOS等成為新的操作系統,關鍵和流行的應用程序,例如Microsoft 365,Google,Salesforce,Workday,Facebook,LinkedIn和Zoom都在瀏覽器中運行。通過惡意瀏覽器擴展可以將這些應用程序全部作為作為目標,這類似于新型的rootkit攻擊攻擊,使攻擊者幾乎不受限制地訪問我們的業務和個人生活。
3. 失敗的安全防御
這些活動已經進行了多年,而與此同時用戶也已經部署了很多安全解決方案。但事實證明一點用也沒有,研究表明,攻擊者已經可以逃避檢測,在本文的示例中,TTP似乎已在許多傳統的安全方法(例如,安全策略)中失效。
這一事件凸顯出科技企業在瀏覽器安全方面的失敗,而瀏覽器被廣泛使用在電子郵件、支付以及其他敏感性功能中。
是誰發起了這次攻擊
Awake Security表示,由于開發者向Google提供了虛假聯系信息,所以目前還不清楚是什么人在背后努力傳播這些惡意軟件。
在被研究人員提醒后,Google已經從Chrome Web Store中移除了70多個惡意擴展程序。谷歌發言人斯科特·韋斯托弗(Scott Westover)表示:
| 當我們接到了一些擴展程序違背了相關政策時,我們第一時間采取了行動進行了刪除,并將這些惡意軟件當作培訓材料用來改進公司的自動和人工分析水平。 |
目前谷歌拒絕討論新間諜軟件與此前出現的惡意軟件有何區別,也拒絕透露該軟件的影響范圍,以及他們為何沒有主動刪除該軟件。根據分析,惡意擴展程序并不是沒有出現過,之前并不會造成危害,只會彈出廣告。而現在的惡意擴展程序已經越來越危險,甚至會監控用戶的位置和個人隱私信息。
來自2018年的一項研究發現,提交給Chrome應用商店的10個擴展程序中就有1個有惡意軟件。
