谷歌近日從Chrome web商店中移除了106余個惡意Chrome擴展，這些擴展對石油、天然氣、金融和醫(yī)療衛(wèi)生行業(yè)進行了大規(guī)模、全球性的監(jiān)控活動，具體功能是收集敏感的用戶數(shù)據(jù)。

Awake安全公司在上周發(fā)布的一份報告中稱，攻擊者的基礎(chǔ)設(shè)施包括15160個惡意或可疑的域名和111個惡意或偽造的Chrome擴展，下載量超過3300萬次。惡意擴展偽裝成文件格式轉(zhuǎn)化的工具、安全瀏覽的工具，并通過虛假評論來誘使用戶(受害者)下載和安裝擴展。

完整報告下載地址參見：

https://awakesecurity.com/white-papers/the-internets-new-arms-dealers-malicious-domain-registrars/

惡意擴展攻擊攻擊活動背后的攻擊者使用繞過技術(shù)來避免反惡意軟件解決方案將域名標記為惡意的，因此可以讓監(jiān)控活動不被檢測到。

這100多個惡意擴展在Awake 5月報告給谷歌之前的3個月內(nèi)，一共下載了近3300萬次。

惡意瀏覽器擴展都與一個互聯(lián)網(wǎng)域名注冊機構(gòu)GalComm相關(guān)。但Galcomm并沒有參與該攻擊活動，也與該攻擊活動無關(guān)。目前還不清楚該監(jiān)控攻擊活動背后的攻擊者。

Chrome web應(yīng)用商店中欺騙性的擴展仍然是一個問題，惡意攻擊者會利用它來進行惡意軟件廣告和其他數(shù)據(jù)竊取活動。谷歌回應(yīng)稱已經(jīng)從應(yīng)用商店中移除了有問題的瀏覽器擴展。完整列表參見：

https://awakesecurity.com/wp-content/uploads/2020/06/GalComm-Malicious-Chrome-Extensions-Appendix-B.txt。

統(tǒng)計數(shù)據(jù)表明其中一些擴展活躍在金融服務(wù)、石油和天然氣、媒體和娛樂、醫(yī)療和制藥、零售業(yè)、高科技、高等教育機構(gòu)和政府組織。但目前還沒有這些擴展被用于收集敏感數(shù)據(jù)的證據(jù)。

早在今年2月，谷歌就移除了500多個惡意軟件相關(guān)的擴展。4月，谷歌又移除了49個擴展，并偽裝成加密貨幣錢包地址來竊取KeyStore信息。

研究人員建議用戶：

• 在Chrome瀏覽器上訪問"chrome://extensions" 來檢查擴展的權(quán)限;
• 移除那些不常用的瀏覽器擴展;
• 使用要求權(quán)限較少的擴展。