Awake Security 揭露,有項活動利用 Google Chrome 擴充套件和 Communigal Communication Ltd. (Galcomm) 的網域,追蹤使用者的活動與資料。在過去三個月中,研究人員發現有 111 個惡意或偽造的 Chrome 擴充功能,利用 Galcomm 網域作為其命令及控制 (C&C) 的基礎架構。撰寫本文時,這些惡意擴充功能的下載次數已至少達 3200 萬次。
該活動利用將近 15,160 個透過 Galcomm 註冊的網域,託管惡意程式與以瀏覽器為基礎的監控工具,數量占了此網域註冊商 26,079 個可訪問網域中的近 60%。在與通訊商 Reuters 的往來信件中,Galcomm 負責人 Moshe Fofel 堅稱:「Galcomm 並未牽涉其中,也不會參與任何惡意活動。」
影響產業含金融、石油和天然氣、媒體、健康照護、零售、科技、教育及政府部門
Moshe Fofel 寫道:「應該說正好相反,我們常與執法和安全機構合作,盡我們所能地預防惡意活動。」
這些攻擊成功躲避了諸如沙盒、端點安全解決方案、網域信譽評等引擎等機制的偵測。受到影響的產業包含金融、石油和天然氣、媒體、健康照護、零售、科技、教育及政府部門。
有些擴充功能可以從遠端伺服器載入程式碼
如我們去年四月發表的關於模組化廣告程式 DealPly、IsErik 和 ManageX 的研究所述,這些 Chrome 擴充功能是此活動生態系統的一環。我們也發現了以 Firefox 使用者為目標的惡意擴充功能。我們提到有些擴充功能可以從遠端伺服器載入程式碼,也盡可能談及 Galcomm 網域與該攻擊的連結。此外,我們還為此提供了根本原因分析 (RCA)。
Awake Security 也公布了該活動所使用的應用程式 ID 詳細列表。除了在我們的分析中曾碰到的幾個應用程式 ID,以下是另外兩個我們此前揭露過的應用程式 ID:
- bgbeocleofdgkldamjapfgcglnmhmjgb
- ncjbeingokdeimlmolagjaddccfdlkbd
這些可疑的惡意擴充功能會在未經使用者同意下,擷取螢幕截圖、讀取剪貼簿、蒐集使用者按鍵動作,以及竊取憑證。我們發表過一個關於變種惡意軟體的報告 (由趨勢科技偵測標記為 Trojan.JS.MANAGEX.A) 也觀察和分析出類似的行為,亦與此次活動有關。當時我們發現該惡意軟體設置了許可,允許存取 Chrome API 的下列項目:
- 瀏覽紀錄
- cookie
- 螢幕畫面擷取
- 地理位置
- 歷史記錄
- 管理
(完整列表請見我們的報告)
更早被偵測到的變種惡意軟體 ADW_DEALPLY 和 Adware.JS.DEALPLY.SMMR 也同樣與此次攻擊有關。
因應惡意網域和擴充功能威脅的安全性系統
惡意擴充功能不斷演進,成為愈加嚴重的威脅,其漸漸發展出更具隱蔽性的技術,像是避開傳統安全機制以及從遠端伺服器載入程式碼。各組織除了專注於偵測外,也應長期不斷地監控這些威脅所採用的戰術、技巧及程序,以更了解其行為,並洞察如何保衛登錄點免於威脅。
託管式XDR 藉由蒐集並交叉關聯來自電子郵件、端點、伺服器、雲端工作負載及網路的活動資料,以保護系統。其運用 AI 與專家資安數據分析,不僅能實現早期偵測,更能深入了解這些攻擊的來源與行為。
Trend Micro™ Managed XDR 服務由我們經驗豐富的 Managed Detection and Response 分析師們負責,提供專業監測與分析。我們的專家能充分掌握攻擊行動的全貌以及攻擊如何在企業中擴散,因此能清楚解釋威脅的原因與造成的影響。
來源: Malicious Chrome Extensions, Domains Used to Steal User Data