剛剛，據(jù)外媒報道，Awake Security的研究人員發(fā)現(xiàn)在Google Chrome擴展程序中發(fā)現(xiàn)了一個惡意軟件，截止發(fā)稿時，該軟件已經(jīng)被下載了32962951次，大量用戶信息面臨泄漏的危險。Awake Security創(chuàng)始人加里·戈洛姆(Gary Golomb)表示，該擴展程序會竊取用戶的個人隱私，比如電子郵件、工資單和其他敏感信息。根據(jù)統(tǒng)計， 這也是Chrome應(yīng)用商店中目前被下載的最多的惡意軟件，這意味著有大量用戶的隱私被泄露了。

惡意軟件分析

Awake Security的研究人員發(fā)現(xiàn)該惡意軟件是一個最近剛被開發(fā)的軟件——惡意域名注冊工具。

如上所述，該惡意軟件已被將近3300多萬用戶下載，這很容易發(fā)生大規(guī)模的安全性事件。從下載數(shù)量來看，這是迄今為止影響最深遠的惡意行為。通過跟蹤分析，該活動利用互聯(lián)網(wǎng)域名注冊和瀏覽器功能所具備的某些功能來監(jiān)控和竊取來自多個地區(qū)和行業(yè)細分市場的用戶數(shù)據(jù)。所以初步判斷，該攻擊應(yīng)該被歸類為網(wǎng)絡(luò)間諜活動。研究表明，這種犯罪活動是由一個互聯(lián)網(wǎng)域名注冊商CommuniGal Communication Ltd. (GalComm)發(fā)起還有。

通過利用其作為域名注冊商的信任，GalComm已經(jīng)啟用了研究人員 檢查過的100多個網(wǎng)絡(luò)中發(fā)現(xiàn)的惡意活動。此外，惡意活動可以繞過多層安全控制來隱藏起來，即使是在擁有大量網(wǎng)絡(luò)安全投資的復(fù)雜組織中也是如此。

在通過GalComm注冊的26079個可訪問域中，15160個域(約60%)是惡意或可疑的，它們都托管著各種傳統(tǒng)的惡意軟件和基于瀏覽器的監(jiān)控工具。通過各種逃避技術(shù)，這些域已避免被大多數(shù)安全解決方案標(biāo)記為惡意域，從而使該攻擊活動不受關(guān)注，這些域的列表可以在這里找到。

在此次攻擊中發(fā)現(xiàn)的惡意域名

僅在過去的三個月中，研究人員就使用GalComm域收集了111個惡意或偽造的Chrome擴展程序，這些域用于攻擊者的命令和控制基礎(chǔ)結(jié)構(gòu)或用作擴展程序的加載程序頁面。這些擴展名可以截取屏幕截圖，讀取剪貼板，獲取存儲在cookie或參數(shù)中的憑據(jù)令牌，獲取用戶的擊鍵(例如密碼)等。

引誘安裝惡意Chrome擴展程序的示例

迄今為止，這些惡意擴展的下載量至少為32962951，而這個數(shù)量僅僅是截至2020年5月在Chrome Web Store中發(fā)現(xiàn)的數(shù)量。歷史上，很少有擴展被下載超過1000萬次。這些惡意Chrome擴展的列表可以在這里找到。從那以后，Awake就與谷歌合作，從Chrome網(wǎng)上商店刪除了這些擴展。

在分析了金融服務(wù)，石油和天然氣，媒體和娛樂，醫(yī)療保健和制藥，零售，高科技，高等教育和政府組織的100多個網(wǎng)絡(luò)之后，Awake發(fā)現(xiàn)，這些活動背后的攻擊者幾乎在每個地方都建立了一個持久的攻擊機制。

惡意Chrome擴展和傳統(tǒng)惡意軟件的交集

為什么這次事故的危害會非常非常嚴重?

互聯(lián)網(wǎng)及其基礎(chǔ)設(shè)施的安全至關(guān)重要，如果有人利用這個基礎(chǔ)設(shè)施的關(guān)鍵組件，比如域注冊、瀏覽器等，就會徹底動搖了安全的基礎(chǔ)，對組織和消費者都是一種風(fēng)險。研究顯示，此次的惡意軟件攻擊就徹底動搖了互聯(lián)網(wǎng)及其基礎(chǔ)設(shè)施的安全的根本，讓不再對瀏覽器的安全產(chǎn)生根本性信任。

雖然本文的重點是分析這場大規(guī)模黑客活動的細節(jié)，但它也引出了一些關(guān)于互聯(lián)網(wǎng)脆弱性的基本問題。世界各地企業(yè)的首席信息官、首席信息官和安全團隊都要接受不同程度的安全審計、監(jiān)督和問責(zé)。

發(fā)生這次事故的原因分析

1. 域注冊商

ICANN(互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)，是一個非營利性的國際組織)對網(wǎng)路域名的申請不夠盡責(zé)，很少能做到積極的去監(jiān)督。研究人員認為，像GalComm這樣的注冊服務(wù)商可以像網(wǎng)絡(luò)武器經(jīng)銷商一樣有效地運作，從而提供了一個平臺，各種網(wǎng)絡(luò)攻擊者可以通過該平臺提供惡意站點，工具和擴展，而不會受到任何懲罰。

2. 新的攻擊形式的出現(xiàn)

瀏覽器已經(jīng)取代Windows、MacOS等成為新的操作系統(tǒng)，關(guān)鍵和流行的應(yīng)用程序，例如Microsoft 365，Google，Salesforce，Workday，F(xiàn)acebook，LinkedIn和Zoom都在瀏覽器中運行。通過惡意瀏覽器擴展可以將這些應(yīng)用程序全部作為作為目標(biāo)，這類似于新型的rootkit攻擊攻擊，使攻擊者幾乎不受限制地訪問我們的業(yè)務(wù)和個人生活。

3. 失敗的安全防御

這些活動已經(jīng)進行了多年，而與此同時用戶也已經(jīng)部署了很多安全解決方案。但事實證明一點用也沒有，研究表明，攻擊者已經(jīng)可以逃避檢測，在本文的示例中，TTP似乎已在許多傳統(tǒng)的安全方法(例如，安全策略)中失效。

這一事件凸顯出科技企業(yè)在瀏覽器安全方面的失敗，而瀏覽器被廣泛使用在電子郵件、支付以及其他敏感性功能中。

是誰發(fā)起了這次攻擊

Awake Security表示，由于開發(fā)者向Google提供了虛假聯(lián)系信息，所以目前還不清楚是什么人在背后努力傳播這些惡意軟件。

在被研究人員提醒后，Google已經(jīng)從Chrome Web Store中移除了70多個惡意擴展程序。谷歌發(fā)言人斯科特·韋斯托弗(Scott Westover)表示：

目前谷歌拒絕討論新間諜軟件與此前出現(xiàn)的惡意軟件有何區(qū)別，也拒絕透露該軟件的影響范圍，以及他們?yōu)楹螞]有主動刪除該軟件。根據(jù)分析，惡意擴展程序并不是沒有出現(xiàn)過，之前并不會造成危害，只會彈出廣告。而現(xiàn)在的惡意擴展程序已經(jīng)越來越危險，甚至?xí)O(jiān)控用戶的位置和個人隱私信息。

來自2018年的一項研究發(fā)現(xiàn)，提交給Chrome應(yīng)用商店的10個擴展程序中就有1個有惡意軟件。