Extensões do Google Chrome/Chromium agindo como TrojanHorse

1. Extensões do Google Chrome/Chromium agindo como TrojanHorse

Giovanni  M
Giovanni_Menezes

(usa Devuan)

Enviado em 18/06/2020 - 23:07h

O Caso:

Uma instituição que atende pelo nome de Awake Security descobriu que varias extensões do browser em questão agem de forma maliciosa, nos últimos 3 meses 111 extensões foram avaliadas e classificadas como maliciosas, porém um ponto chamou muito a atenção dos pesquisadores, todas elas tem relação com um distribuidor de domínios chamado CommuniGal Communication Ltd, que varia dês de paginas e demais infra-estruturas usadas para fins maliciosos, todos os serviços maliciosos foram registrados via Galcomm.

Dos pouco mais de 26 mil domínios alcançáveis cadastrados pelo GalComm, 15 mil domínios, ou quase 60%, são maliciosos ou suspeitos:


Aos interessados, a lista dos domínios maliciosos esta disponível aqui:
https://awakesecurity.com/wp-content/uploads/2020/06/GalComm-Registered-Domains-List-Appendix-A.txt


A Capacidade Maliciosa das Extensões

Essas extensões podem capturar capturas de tela, ler a área de transferência, coletar tokens de credenciais armazenados em cookies ou parâmetros, capturar pressionamentos de teclas do usuário (como senhas) etc.


Foi descoberto que as extensões usam de métodos para burlar barreiras de segurança do browser.


O impacto Global

Ao que tudo indica, é um ataque em massa, sem direcionamento especifico, afetando o browser sem distinção e é de auto "poder destrutivo"

Até o momento, houve pelo menos 32.962.951 downloads dessas extensões maliciosas - e isso é responsável apenas pelas extensões que estavam ativas na Chrome Web Store em maio de 2020. Por contexto, poucas extensões foram baixadas mais de 10 milhões de vezes.


***O Google já removeu as extensões maliciosas da sua store.***


As extensões:

A principio, o domínio não tem relação direta com o desenvolvimento de tais extensões, apenas serviços maliciosos usados pelas mesmas extensões estavam registrados em seus domínios. O site disponibiliza a lista que vem em formato txt, o papai aqui facilitou a vida de vcs jovem mastigando tudo em formato de planilha.

Editado no Calc.

Download aqui:
http://ge.tt/9alUbt43

MD5 do arquivo
afe7168b74063910fd36d1ffedc08cea


Fontes:

https://awakesecurity.com/white-papers/the-internets-new-arms-dealers-malicious-domain-registrars/
https://awakesecurity.com/blog/the-internets-new-arms-dealers-malicious-domain-registrars/
https://www.theregister.com/2020/06/18/chrome_browser_extensions_new_rootkit/
https://www.zdnet.com/article/google-removes-106-chrome-extensions-for-collecting-sensitive-user-dat...




  


2. Re: Extensões do Google Chrome/Chromium agindo como TrojanHorse

Mauricio Ferrari
maurixnovatrento

(usa Slackware)

Enviado em 18/06/2020 - 23:30h


Vai confiar agora. É por isso que eu só uso extensões recomendadas por profissionais que fizeram testes de segurança primeiro.

___________________________________
Conhecimento não se Leva para o Túmulo.


3. Re: Extensões do Google Chrome/Chromium agindo como TrojanHorse

Giovanni  M
Giovanni_Menezes

(usa Devuan)

Enviado em 18/06/2020 - 23:56h

O Ironico é que a lista contém até extensões de "segurança".

Pela investigação, eu não acharia exagero desconfiar que o serviço de inteligência israelense tem dedo nisso, os Browser de hoje, junto com a World Wide Web se corromperam completamente e irreversivelmente, ainda que, em boa parte, de modo não intencional.

Java-Script é outra coisa é outra coisa que eu recomento todos a ficarem de olho. Depois dessa notícia eu vou adotar o firejail por padrão em todos os browser e máquinas.


Para ser justo, acrescento a defesa da empresa, a resposta é a mesma que esta no link que postei nas fontes.

The Register


O Registo teve melhor sorte. O proprietário da Galcomm, Moshe Fogel, nos disse: "Estamos cientes deste relatório. O relatório é pelo menos irresponsável, se não pior. É baseado em dados incorretos, onde 25% dos domínios que eles alegaram ter verificado não estão em Galcomm ou excluído.

"Entre os que estão na Galcomm, quase todos são domínios estacionados, principalmente nas maiores empresas de estacionamento de domínio do mundo. O restante ainda está sendo investigado." Ele continuou afirmando: "Além disso, a Awake nem sequer pediu nossa cotação ou resposta sobre esse assunto antes de publicar um relatório. Eu recebi os domínios em questão através de um terceiro que estava me perguntando sobre isso".

A situação é tão ruim quanto a Awake diz? "Não está claro no relatório o impacto das extensões maliciosas detectadas nas organizações afetadas", disse o consultor de segurança Brian Honan ao The Register .

"No entanto, esta não é a primeira vez que campanhas são identificadas que aproveitam extensões maliciosas para navegadores da Web e destaca que as empresas precisam ser mais proativas na maneira como gerenciam a segurança dos navegadores. Permitir que os usuários finais instalem as extensões de navegador que desejarem expor uma empresa a possíveis danos.




4. Re: Extensões do Google Chrome/Chromium agindo como TrojanHorse

Clodoaldo Santos
clodoaldops

(usa Linux Mint)

Enviado em 19/06/2020 - 08:29h

Eu só uso navegador do jeito que é instalado por padrão.




5. Re: Extensões do Google Chrome/Chromium agindo como TrojanHorse

Giovanni  M
Giovanni_Menezes

(usa Devuan)

Enviado em 19/06/2020 - 11:51h

Não vejo problema em usar extensões, dês de que tenham o mínimo de confiabilidade e crédito com o público, tem que se acrescentar o cuidado dos desenvolvedores ao permitir extensões em suas plataformas.

A Mozilla por exemplo, tem um "selo" de extensões recomendadas, que são verificadas pela própria equipe da Mozilla, entre quais estão algumas:

No-Script, Adblock Ultimate, Ublock Org, DownloadHelper, dessas 4 eu faço uso de 3 no Firefox, já no Chromium, eu só uso o Ublock Orig, pelo mesmo motivo da matéria, falta de segurança nas extensões disponibilizadas pelo Google, vale observar que não é a primeira vez que se tem problemas com a segurança das extensões na plataforma da Google.

Os browser hoje são o alvo pintado de vermelho no que se refere a ataques maliciosos aos sistemas operacionais.


6. Re: Extensões do Google Chrome/Chromium agindo como TrojanHorse

Arnold
Arnoold

(usa Solus)

Enviado em 19/06/2020 - 11:54h

As únicas extensões que uso no Firefox (sim, não uso Chrome/Chromium) são uBlock Origin, HTTPS Everywhere, Decentraleyes e Video DownloadHelper (essa inclusive fica desativada e só ativo quando preciso). Também usava uma de VPN, mas larguei de mão após descobrir não ser de confiança.

VPN de graça é treta.


7. Re: Extensões do Google Chrome/Chromium agindo como TrojanHorse

Mauricio Ferrari
maurixnovatrento

(usa Slackware)

Enviado em 19/06/2020 - 12:36h


Arnoold escreveu:

As únicas extensões que uso no Firefox (sim, não uso Chrome/Chromium) são uBlock Origin, HTTPS Everywhere, Decentraleyes e Video DownloadHelper (essa inclusive fica desativada e só ativo quando preciso). Também usava uma de VPN, mas larguei de mão após descobrir não ser de confiança.

VPN de graça é treta.


Depende. Ainda estou de ver pois existe algumas que podem ser confiáveis.

___________________________________
Conhecimento não se Leva para o Túmulo.


8. Re: Extensões do Google Chrome/Chromium agindo como TrojanHorse

Stanislaus K
StanislausK

(usa FreeBSD)

Enviado em 19/06/2020 - 18:02h

Ola,

não me surpreende... tem histórico... alguns exemplos recentes:

500 Malicious Chrome Extensions Impact Millions of Users
(14/02/2020)
https://threatpost.com/500-malicious-chrome-extensions-millions/152918/

Chrome extensions are filled with malware. Here's how to stay safe
(28/09/2019)
https://www.wired.co.uk/article/fake-chrome-extensions-malware

Google's bad track record of malicious Chrome extensions continues
(11/05/2018)
https://www.ghacks.net/2018/05/11/googles-bad-track-record-of-malicious-chrome-extensions-continues/


e não fica somente no Chrome:

Descoberta campanha de phishing que usa o Office 365
https://sempreupdate.com.br/descoberta-campanha-de-phishing-que-usa-o-office-365/






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts