Расширения браузера Google Chrome стали мишенью масштабной шпионской кампании

Исследователи из группы исследования угроз безопасности Awake обнаружили масштабную шпионскую кампанию с использованием вредоносных расширений браузера Chrome. Согласно сообщению на официальном сайте Awake, регистратор доменов CommuniGal Communication Ltd. (GalComm) использует расширения браузера Google Chrome для наблюдения за гражданскими лицами и различными отраслями по всему миру. GalComm считался заслуживающим доверия источником, и именно это доверие якобы использовалось для проведения кампании, согласно Awake.

Исследователи «Пробудитесь» опубликовали следующие статистические данные о кампании (выделенные слова принадлежат «Пробуждению»):

Из 26 079 доступных доменов, зарегистрированных через GalComm, 15 160 доменов, или почти 60%, являются вредоносными или подозрительными: на них размещены различные традиционные вредоносные программы и инструменты наблюдения на основе браузера… Только за последние три месяца мы обнаружили 111 вредоносных или поддельных Chrome. расширения, использующие домены GalComm для инфраструктуры управления и контроля злоумышленников и/или в качестве страниц загрузки для расширений. Эти расширения могут делать снимки экрана, читать буфер обмена, собирать токены учетных данных, хранящиеся в файлах cookie или параметрах, захватывать нажатия клавиш пользователя (например, пароли) и т. д.

Поскольку GalComm считался доверенным регистратором доменов, сканеры вредоносных программ не помечали расширения Chrome как вредоносные. Это позволило бы GalComm иметь неограниченный доступ к тем, кто загрузил его расширения. Расширения были загружены 32 962 951 раз, и это число включает только расширения Chrome. С тех пор Google удалил расширения Chrome из своего магазина, но сторонние расширения все еще не используются. В прошлом у Google были проблемы с вредоносными расширениями.

Владелец GalComm Моше Фогель опроверг обвинения Awake в переписке с Reuters по электронной почте. В этом обмене Reuters цитирует Фогеля следующее:

GalComm не причастен и не причастен к какой-либо злоумышленной деятельности... Можно сказать прямо противоположное, мы сотрудничаем с правоохранительными органами и органами безопасности, чтобы предотвратить, насколько это возможно.

Отрасли, на которые нацелена эта шпионская кампания расширений для браузера Chrome, согласно Awake, включают «финансовые услуги, нефть и газ, СМИ и развлечения, здравоохранение и фармацевтику, розничную торговлю, высокие технологии, высшее образование и государственные организации». Все это испытание поставило под сомнение процесс проверки, которому подвергаются регистраторы доменов. Если бы GalComm был правильно помечен, никаких повреждений не было бы. Специалисты по безопасности используют исследования Awake, чтобы определить план атаки, который предотвратит подобное в будущем.