Extensões do Google Chrome/Chromium agindo como TrojanHorse

Giovanni_Menezes
(usa Devuan)

Enviado em 18/06/2020 - 23:07h

O Caso:

Uma instituição que atende pelo nome de Awake Security descobriu que varias extensões do browser em questão agem de forma maliciosa, nos últimos 3 meses 111 extensões foram avaliadas e classificadas como maliciosas, porém um ponto chamou muito a atenção dos pesquisadores, todas elas tem relação com um distribuidor de domínios chamado CommuniGal Communication Ltd, que varia dês de paginas e demais infra-estruturas usadas para fins maliciosos, todos os serviços maliciosos foram registrados via Galcomm.



Aos interessados, a lista dos domínios maliciosos esta disponível aqui:
https://awakesecurity.com/wp-content/uploads/2020/06/GalComm-Registered-Domains-List-Appendix-A.txt


A Capacidade Maliciosa das Extensões



Foi descoberto que as extensões usam de métodos para burlar barreiras de segurança do browser.


O impacto Global

Ao que tudo indica, é um ataque em massa, sem direcionamento especifico, afetando o browser sem distinção e é de auto "poder destrutivo"



***O Google já removeu as extensões maliciosas da sua store.***


As extensões:

A principio, o domínio não tem relação direta com o desenvolvimento de tais extensões, apenas serviços maliciosos usados pelas mesmas extensões estavam registrados em seus domínios. O site disponibiliza a lista que vem em formato txt, o papai aqui facilitou a vida de vcs jovem mastigando tudo em formato de planilha.

Editado no Calc.

Download aqui:
http://ge.tt/9alUbt43

MD5 do arquivo
afe7168b74063910fd36d1ffedc08cea


Fontes:

https://awakesecurity.com/white-papers/the-internets-new-arms-dealers-malicious-domain-registrars/
https://awakesecurity.com/blog/the-internets-new-arms-dealers-malicious-domain-registrars/
https://www.theregister.com/2020/06/18/chrome_browser_extensions_new_rootkit/
https://www.zdnet.com/article/google-removes-106-chrome-extensions-for-collecting-sensitive-user-dat...

maurixnovatrento
(usa Slackware)

Enviado em 18/06/2020 - 23:30h

Vai confiar agora. É por isso que eu só uso extensões recomendadas por profissionais que fizeram testes de segurança primeiro.

___________________________________
Conhecimento não se Leva para o Túmulo.

Giovanni_Menezes
(usa Devuan)

Enviado em 18/06/2020 - 23:56h

O Ironico é que a lista contém até extensões de "segurança".

Pela investigação, eu não acharia exagero desconfiar que o serviço de inteligência israelense tem dedo nisso, os Browser de hoje, junto com a World Wide Web se corromperam completamente e irreversivelmente, ainda que, em boa parte, de modo não intencional.

Java-Script é outra coisa é outra coisa que eu recomento todos a ficarem de olho. Depois dessa notícia eu vou adotar o firejail por padrão em todos os browser e máquinas.


Para ser justo, acrescento a defesa da empresa, a resposta é a mesma que esta no link que postei nas fontes.

The Register

removido
(usa Nenhuma)

Enviado em 19/06/2020 - 08:29h

Eu só uso navegador do jeito que é instalado por padrão.

Giovanni_Menezes
(usa Devuan)

Enviado em 19/06/2020 - 11:51h

Não vejo problema em usar extensões, dês de que tenham o mínimo de confiabilidade e crédito com o público, tem que se acrescentar o cuidado dos desenvolvedores ao permitir extensões em suas plataformas.

A Mozilla por exemplo, tem um "selo" de extensões recomendadas, que são verificadas pela própria equipe da Mozilla, entre quais estão algumas:

No-Script, Adblock Ultimate, Ublock Org, DownloadHelper, dessas 4 eu faço uso de 3 no Firefox, já no Chromium, eu só uso o Ublock Orig, pelo mesmo motivo da matéria, falta de segurança nas extensões disponibilizadas pelo Google, vale observar que não é a primeira vez que se tem problemas com a segurança das extensões na plataforma da Google.

Os browser hoje são o alvo pintado de vermelho no que se refere a ataques maliciosos aos sistemas operacionais.

Arnoold
(usa Solus)

Enviado em 19/06/2020 - 11:54h

As únicas extensões que uso no Firefox (sim, não uso Chrome/Chromium) são uBlock Origin, HTTPS Everywhere, Decentraleyes e Video DownloadHelper (essa inclusive fica desativada e só ativo quando preciso). Também usava uma de VPN, mas larguei de mão após descobrir não ser de confiança.

VPN de graça é treta.

maurixnovatrento
(usa Slackware)

Enviado em 19/06/2020 - 12:36h

Depende. Ainda estou de ver pois existe algumas que podem ser confiáveis.

___________________________________
Conhecimento não se Leva para o Túmulo.

StanislausK
(usa FreeBSD)

Enviado em 19/06/2020 - 18:02h

Ola,

não me surpreende... tem histórico... alguns exemplos recentes:

500 Malicious Chrome Extensions Impact Millions of Users
(14/02/2020)
https://threatpost.com/500-malicious-chrome-extensions-millions/152918/

Chrome extensions are filled with malware. Here's how to stay safe
(28/09/2019)
https://www.wired.co.uk/article/fake-chrome-extensions-malware

Google's bad track record of malicious Chrome extensions continues
(11/05/2018)
https://www.ghacks.net/2018/05/11/googles-bad-track-record-of-malicious-chrome-extensions-continues/


e não fica somente no Chrome:

Descoberta campanha de phishing que usa o Office 365
https://sempreupdate.com.br/descoberta-campanha-de-phishing-que-usa-o-office-365/