安全研究人員發(fā)現(xiàn)了一個大規(guī)模的全球活動，它在監(jiān)視數(shù)百萬互聯(lián)網(wǎng)用戶并竊取其數(shù)據(jù)。在此攻擊中，黑客使用了從GalComm(以前稱為CommuniGal Communication Ltd)購買的數(shù)千個惡意域。GalComm是來自以色列的域名注冊商。

黑客使用Google Chrome擴展程序刪除惡意軟件

一個主要的間諜活動主要針對谷歌Chrome瀏覽器用戶，擴展禮貌托管在Chrome網(wǎng)上應(yīng)用店，進一步損害電子郵件，工資和其他幾個敏感的功能。這些Web瀏覽器擴展成功地竊取了來自多個地區(qū)和行業(yè)細分的敏感用戶數(shù)據(jù)。

作為回應(yīng)，谷歌已經(jīng)刪除超過70從Chrome網(wǎng)上應(yīng)用店惡意擴展，報告路透社：

Google發(fā)言人在一份聲明中說：“當(dāng)我們收到網(wǎng)上商店中違反我們政策的擴展的通知時，我們將采取行動并將這些事件用作培訓(xùn)材料，以改進我們的自動化和手動分析。”

Awake Security的研究人員觀察到通過GalComm注冊的總計26,079個域。據(jù)他們稱，這些域中近60%托管著各種傳統(tǒng)的惡意軟件和基于瀏覽器的監(jiān)視工具。

有趣的是，攻擊者還通過各種規(guī)避技術(shù)繞過了多層安全控制措施，設(shè)法保持較低的水平。

“通過各種逃避技術(shù)，這些域已避免被大多數(shù)安全解決方案標(biāo)記為惡意域，從而使該活動無人關(guān)注，” Awake Security聯(lián)合創(chuàng)始人兼首席科學(xué)家Gary Golomb說。

接下來，研究人員還目睹了使用GalComm域的數(shù)百個惡意Chrome擴展程序。攻擊者使用這些擴展作為傳遞數(shù)據(jù)竊取惡意軟件的工具。這些擴展一起已經(jīng)獲得了數(shù)百萬的下載量。

使用這些擴展，攻擊者能夠截屏，閱讀剪貼板，獲取存儲在cookie或參數(shù)中的憑證令牌，充當(dāng)鍵盤記錄程序等。這項大規(guī)模的監(jiān)視活動針對的行業(yè)遍及金融服務(wù)，石油和天然氣，媒體和娛樂，醫(yī)療保健和制藥等行業(yè)。

但是，出現(xiàn)了一個問題：威脅參與者如何首先設(shè)法在Chrome Web Store上批準(zhǔn)了數(shù)百個惡意擴展?

早些時候，研究人員發(fā)現(xiàn)了一個新的復(fù)雜的網(wǎng)絡(luò)釣魚活動，該活動濫用了Adobe廣告活動重定向機制，使用來自三星的信譽良好的域?qū)⑹芎φ甙l(fā)送到Office 365主題的網(wǎng)絡(luò)釣魚網(wǎng)站。