image

Malafide extensies in Chrome Web Store 32 miljoen keer gedownload

donderdag 18 juni 2020, 09:29 door Redactie, 4 reacties

Onderzoekers hebben in de Chrome Web Store meer dan zeventig malafide extensies ontdekt die bij elkaar ruim 32 miljoen keer waren gedownload. Google heeft de extensies inmiddels uit de Web Store verwijderd. Dat laat securitybedrijf Awake Security tegenover persbureau Reuters en via de eigen website weten.

De Chrome-extensies deden zich onder andere voor als tools om bestanden naar een ander formaat om te zetten of gebruikers voor dubieuze websites te waarschuwen. In werkelijkheid werden screenshots gemaakt, het clipboard uitgelezen, informatie uit cookies, parameters en toetsaanslagen verzameld en teruggestuurd. De aanvallers hebben zo toegang gekregen tot de netwerken van farmaceutische bedrijven, overheidsinstanties, onderwijsinstellingen, mediabedrijven en zorgondernemingen, aldus Awake Security.

Om de Chrome Web Store te omzeilen installeerden sommige van de extensies een versie van Chromium, de opensourcebrowser waarop Chrome is gebaseerd. "Omdat de meeste gebruikers niet het verschil tussen Chrome en Chromium herkennen, maken ze de nieuwe browser wanneer gevraagd vaak hun standaardbrowser", aldus het securitybedrijf. De nieuwe browser laadde vervolgens allerlei malafide extensies.

De ontwikkelaars van de malafide extensies hadden daarnaast maatregelen genomen om detectie te voorkomen. Wanneer de extensies vanaf een thuiscomputer werden gebruikt maakten ze verbinding met een reeks domeinen en verstuurden de eerder genoemde informatie. Bij gebruik vanaf een bedrijfsnetwerk werd dit niet gedaan. Voor de operatie werden meer dan 15.000 domeinen geregistreerd.

Wanneer Google extensies uit de Web Store verwijdert worden ze bij Chrome-gebruikers gedeactiveerd en aangemerkt als malafide, zodat gebruikers weten dat ze die niet moeten inschakelen. Een overzicht van de malafide extensies is in dit bestand te vinden.

Image

Reacties (4)
18-06-2020, 10:43 door marco1958
De link naar een bestand met namen van malafide extensies lijkt minder zinvol. De link wijst naar https://awakesecurity.com/wp-content/uploads/2020/06/GalComm-Malicious-Chrome-Extensions-Appendix-B.txt en bevat als inhoud:

acmnokigkgihogfbeooklgemindnbine
apgohnlmnmkblgfplgnlmkjcpocgfomp
apjnadhmhgdobcdanndaphcpmnjbnfng
bahkljhhdeciiaodlkppoonappfnheoi

:
18-06-2020, 11:37 door Anoniem
Dit blijft hier in het bericht een beetje onderbelicht
All of the domains in question, more than 15,000 linked to each other in total, were purchased from a small registrar in Israel, Galcomm, known formally as CommuniGal Communication Ltd.[/url]
en nog een andere eerdere actie vermeld hier: https://duo.com/labs/research/crxcavator-malvertising-2020

Dat bijna alle browsers tegenwoordig Google Chrome klones of browsers met chromium-engines zijn, maakt deze browser tot de spy-tool bij uitstek voor legale en illegale dataslurp behoeften.

Kijk eens naar de enorme aantallen COVID-19-corona achtige domein-registraties, die hier om je oren vliegen en ze zijn echt niet allemaal "above board": https://urlscan.io/

luntrus
18-06-2020, 11:49 door Anoniem
@ marco1958

Maar met deze tool, CRXcavator (rijmt op excavator) lukt dat een stuk beter: https://crxcavator.io/
Die jij noemt, zijn daar al niet meer te scannen, want permanent verwijderd uit de webshop.

#sockpuppet
18-06-2020, 13:16 door Anoniem
Gaaf; dus hun research Travis zit vooral browser en AV oplossingen af te branden en daarnaast wordt hun hele app store vol troep geplempt.
Goede prioriteiten daar :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.