Google ha recentemente rimosso oltre 500 estensioni di Chrome che infettavano i browser degli utenti ed esfiltravano i dati di navigazione come parte di una campagna più ampia. Le estensioni dannose sono state individuate dalla ricercatrice Jamila Kaya che ha utilizzato lo strumento CRXcavator di Duo Security identificando una serie di estensioni che sembravano sospette.
La ricercatrice ha contattato Duo Security e dopo ulteriori indagini, è stata scoperta una campagna su larga scala di estensioni copycat di Chrome che infettavano gli utenti e esfiltravano i dati attraverso il malvertising mentre tentavano di eludere il rilevamento di frodi su Google Chrome Negozio online.
Grazie alla collaborazione, i ricercatori hanno rilevato che i plug-in del browser funzionavano collegando i client del browser a un server command-and-control (C2) controllato che rendeva possibile l’esfiltrazione dei dati di navigazione all’insaputa degli utenti. Le estensioni, che venivano presentate sotto forma di offerte e servizi pubblicitari, disponevano di codice sorgente quasi identico tra loro ma differivano nei nomi delle funzioni, eludendo in tal modo i meccanismi di rilevamento del Chrome Web Store.
La ricercatrice e Duo sono stati in grado di prendere le poche dozzine di estensioni e utilizzare CRXcavator.io per identificare 70 corrispondenti ai loro schemi su 1,7 milioni di utenti e innalzare le preoccupazioni a Google.
“Google è stato ricettivo e attento al rapporto. Una volta inviato il rapporto, hanno lavorato per convalidare i risultati e sono passati alle impronte digitali delle estensioni. Ciò ha consentito a Google di effettuare ricerche nell’intero corpus del Chrome Web Store per scoprire e rimuovere più di 500 estensioni correlate.”
Apprezziamo il lavoro della comunità di ricerca e quando siamo avvisati delle estensioni nel Web Store che violano le nostre politiche, prendiamo provvedimenti e utilizziamo tali incidenti come materiale di formazione per migliorare le nostre analisi automatizzate e manuali”, ha affermato un portavoce di Google. “Facciamo regolarmente swacks per trovare estensioni utilizzando tecniche, codice e comportamenti simili e rimuovere tali estensioni se violano le nostre politiche.”
https://duo.com/labs/research/crxcavator-malvertising-2020#top
