Awake Security透露，大规模全球监视活动中使用的恶意Chrome扩展程序在被删除之前已下载了数百万。

该活动影响了众多地区和行业领域的用户，该活动利用Internet域名注册和用户对浏览器的依赖来监视他们并大规模窃取数据。

Awake对该活动的调查显示，互联网域名注册商CommuniGal Communication Ltd.（GalComm）煽动了犯罪活动：通过GalComm注册的26,079个可访问域中有15160个是恶意的或可疑的。

在此活动中，有15160个独特的可疑或恶意域中的许多被劫持：它们在过期后立即通过GalComm注册。因此，攻击者可能会击败寻找全新域的检测机制。

攻击者为隐藏活动付出了很多努力。他们不仅设法绕过组织内部的多层安全控制，而且避免了大多数安全解决方案将其域标记为恶意的。

在过去的三个月中，Awake 发现了 111个恶意或伪造的Chrome扩展程序，这些扩展程序使用GalComm域作为攻击者的命令和控制基础结构和/或用作加载程序页面。这些应用程序可能参与恶意活动，例如截取屏幕快照，读取剪贴板，收集凭据令牌或记录用户击键等。

在5月份的Chrome网上应用店中发现了79个扩展程序，Awake发现在删除之前，它们收集了大约3300万次下载。该安全公司发布了这些恶意Chrome扩展程序的TSV ID列表。

Awake的安全研究人员发现，该活动的威胁参与者设法在金融服务，石油和天然气，媒体和娱乐，医疗保健和制药，零售，高科技，高等教育和政府等大约100个组织的网络中建立了立足点部门。

这些活动已经进行了多年，而客户已经部署了同类最佳的安全解决方案。研究表明，攻击者是如何逃避检测的，但是在这种情况下，TTP似乎在许多传统的安全方法（例如信誉引擎，沙箱以及端点检测和响应解决方案）中都成为了盲点。”

为了不被发现，攻击者实施了一种过滤方法，其中只有来自宽带，电缆，光纤，移动或类似固网服务提供商（ISP）类型的网络的请求才被定向到恶意有效载荷，而来自数据中心的请求才被定向至恶意载荷。 ，网络托管服务，传输网络，VPN或代理将被重定向到良性页面。

这些扩展名一开始看起来是无害的，但在干净版本获得批准后，攻击者可能会将恶意有效载荷推给了他们。在某些情况下，用户被欺骗从具有专业外观的网站上安装了恶意扩展，其他用户则是通过以前安装的广告软件下载的，而另一些用户则多次添加到Chrome网上应用店中，只有几种变体。

通过其他扩展程序中包含的自包含Chromium程序包，某些恶意扩展程序将完全绕过Chrome Web Store，从而诱骗用户在首次运行时提示您默认使用新的恶意浏览器。与Chrome不同，这种基于Chromium的浏览器可以接受任何来源的扩展程序，而不仅限于Chrome网上应用店中的扩展程序。

这些流氓浏览器似乎是由受害者系统上已经存在的现有潜在有害程序（PUP）安装的。这是非常有效的，因为流氓浏览器是独立的，这意味着除了能够在本地执行程序以外，几乎不需要其他权限。” Awake解释说。