安全研究人员发现了一个大规模的全球活动,它在监视数百万互联网用户并窃取其数据。在此攻击中,黑客使用了从GalComm(以前称为CommuniGal Communication Ltd)购买的数千个恶意域。GalComm是来自以色列的域名注册商。
黑客使用Google Chrome扩展程序删除恶意软件
一个主要的间谍活动主要针对谷歌Chrome浏览器用户,扩展礼貌托管在Chrome网上应用店,进一步损害电子邮件,工资和其他几个敏感的功能。这些Web浏览器扩展成功地窃取了来自多个地区和行业细分的敏感用户数据。
作为回应,谷歌已经删除超过70从Chrome网上应用店恶意扩展,报告路透社:
Google发言人在一份声明中说:“当我们收到网上商店中违反我们政策的扩展的通知时,我们将采取行动并将这些事件用作培训材料,以改进我们的自动化和手动分析。”
Awake Security的研究人员观察到通过GalComm注册的总计26,079个域。据他们称,这些域中近60%托管着各种传统的恶意软件和基于浏览器的监视工具。
有趣的是,攻击者还通过各种规避技术绕过了多层安全控制措施,设法保持较低的水平。
“通过各种逃避技术,这些域已避免被大多数安全解决方案标记为恶意域,从而使该活动无人关注,” Awake Security联合创始人兼首席科学家Gary Golomb说。
接下来,研究人员还目睹了使用GalComm域的数百个恶意Chrome扩展程序。攻击者使用这些扩展作为传递数据窃取恶意软件的工具。这些扩展一起已经获得了数百万的下载量。
使用这些扩展,攻击者能够截屏,阅读剪贴板,获取存储在cookie或参数中的凭证令牌,充当键盘记录程序等。这项大规模的监视活动针对的行业遍及金融服务,石油和天然气,媒体和娱乐,医疗保健和制药等行业。
但是,出现了一个问题:威胁参与者如何首先设法在Chrome Web Store上批准了数百个恶意扩展?
早些时候,研究人员发现了一个新的复杂的网络钓鱼活动,该活动滥用了Adobe广告活动重定向机制,使用来自三星的信誉良好的域将受害者发送到Office 365主题的网络钓鱼网站。