安全研究人员发现了一个大规模的全球活动,它正在监控数百万互联网用户并窃取他们的数据。在这次攻击中,黑客使用了从GalComm(原名CommuniGal Communication Ltd)购买的数千个恶意域名。GalComm是一家来自以色列的域名注册商。
黑客使用谷歌Chrome扩展来移除恶意软件
【资料图】
一个主要的间谍活动主要针对谷歌Chrome浏览器用户,在Chrome在线应用商店扩展礼遇托管,进一步破坏电子邮件、工资和其他几个敏感功能。这些网络浏览器扩展已经成功地从多个地区和行业领域窃取了敏感的用户数据。
据路透社报道,作为回应,谷歌已经从Chrome的在线应用商店中删除了70多个恶意扩展:
谷歌发言人在一份声明中表示:“当我们收到在线商店违反我们政策的延期通知时,我们将采取行动,并将这些事件用作培训材料,以提高我们的自动化和手动分析。”
清醒安全研究人员观察了通过GalComm注册的总共26,079个域。根据他们的说法,这些域中有近60%托管各种传统恶意软件和基于浏览器的监控工具。
有趣的是,攻击者还通过各种规避技术规避了多层安全控制措施,并设法保持了较低的级别。
“通过各种逃逸技术,这些域避免了被大多数安全解决方案标记为恶意域,从而使这种活动不被注意到,”清醒安全公司的联合创始人兼首席科学家加里戈伦布(Gary Golomb)说。
接下来,研究人员还见证了数百个使用GalComm域的恶意Chrome扩展。攻击者使用这些扩展作为传递数据和窃取恶意软件的工具。这些扩展总共产生了数百万次下载。
有了这些扩展,攻击者可以拍摄屏幕截图,读取剪贴板,获取存储在cookie或参数中的凭证令牌,并充当键盘记录者。这项大规模监控活动的目标行业包括金融服务、石油和天然气、媒体和娱乐、医疗保健和制药。
然而,一个问题出现了:威胁参与者最初是如何设法批准Chrome Web Store上数百个恶意扩展的?
早些时候,研究人员发现了一种新的复杂的网络钓鱼活动,该活动滥用了Adobe的广告活动重定向机制,并使用三星的知名域名将受害者发送到Office 365主题的网络钓鱼网站。
关键词:
