安全研究人員發(fā)現了一個(gè)大規模的全球活動(dòng)，它在監視數百萬(wàn)互聯(lián)網(wǎng)用戶(hù)并竊取其數據。在此攻擊中，黑客使用了從GalComm(以前稱(chēng)為CommuniGal Communication Ltd)購買(mǎi)的數千個(gè)惡意域。GalComm是來(lái)自以色列的域名注冊商。

黑客使用Google Chrome擴展程序刪除惡意軟件

一個(gè)主要的間諜活動(dòng)主要針對谷歌Chrome瀏覽器用戶(hù)，擴展禮貌托管在Chrome網(wǎng)上應用店，進(jìn)一步損害電子郵件，工資和其他幾個(gè)敏感的功能。這些Web瀏覽器擴展成功地竊取了來(lái)自多個(gè)地區和行業(yè)細分的敏感用戶(hù)數據。

作為回應，谷歌已經(jīng)刪除超過(guò)70從Chrome網(wǎng)上應用店惡意擴展，報告路透社：

Google發(fā)言人在一份聲明中說(shuō)：“當我們收到網(wǎng)上商店中違反我們政策的擴展的通知時(shí)，我們將采取行動(dòng)并將這些事件用作培訓材料，以改進(jìn)我們的自動(dòng)化和手動(dòng)分析。”

Awake Security的研究人員觀(guān)察到通過(guò)GalComm注冊的總計26,079個(gè)域。據他們稱(chēng)，這些域中近60%托管著(zhù)各種傳統的惡意軟件和基于瀏覽器的監視工具。

有趣的是，攻擊者還通過(guò)各種規避技術(shù)繞過(guò)了多層安全控制措施，設法保持較低的水平。

“通過(guò)各種逃避技術(shù)，這些域已避免被大多數安全解決方案標記為惡意域，從而使該活動(dòng)無(wú)人關(guān)注，” Awake Security聯(lián)合創(chuàng )始人兼首席科學(xué)家Gary Golomb說(shuō)。

接下來(lái)，研究人員還目睹了使用GalComm域的數百個(gè)惡意Chrome擴展程序。攻擊者使用這些擴展作為傳遞數據竊取惡意軟件的工具。這些擴展一起已經(jīng)獲得了數百萬(wàn)的下載量。

使用這些擴展，攻擊者能夠截屏，閱讀剪貼板，獲取存儲在cookie或參數中的憑證令牌，充當鍵盤(pán)記錄程序等。這項大規模的監視活動(dòng)針對的行業(yè)遍及金融服務(wù)，石油和天然氣，媒體和娛樂(lè )，醫療保健和制藥等行業(yè)。

但是，出現了一個(gè)問(wèn)題：威脅參與者如何首先設法在Chrome Web Store上批準了數百個(gè)惡意擴展?

早些時(shí)候，研究人員發(fā)現了一個(gè)新的復雜的網(wǎng)絡(luò )釣魚(yú)活動(dòng)，該活動(dòng)濫用了Adobe廣告活動(dòng)重定向機制，使用來(lái)自三星的信譽(yù)良好的域將受害者發(fā)送到Office 365主題的網(wǎng)絡(luò )釣魚(yú)網(wǎng)站。