阻止 Chrome 浏览器的一系列恶意加载项,影响了数百万用户。 在第一阶段,独立研究员贾米拉·卡亚(Jamila Kaya)()和 Duo Security 已在 Chrome Web Store 中识别出 71 个恶意加载项。 这些附加组件的安装总数已超过 1.7 万次。 在向谷歌通报该问题后,在目录中发现了 430 多个类似的附加组件,但未报告其安装数量。
值得注意的是,尽管安装数量令人印象深刻,但没有一个有问题的附加组件有用户评论,这引发了人们对附加组件如何安装以及恶意活动如何未被检测到的疑问。 所有有问题的加载项现已从 Chrome 网上应用店中删除。
研究人员表示,与被阻止的附加组件相关的恶意活动自 2019 年 2017 月以来一直在发生,但用于执行恶意操作的单个域早在 XNUMX 年就已注册。
在大多数情况下,恶意加载项是作为推广产品和参与广告服务(用户查看广告并收取版税)的工具提供的。 这些附加组件使用了一种在打开页面时重定向到广告网站的技术,这些页面在显示请求的网站之前以链的形式显示。
所有附加组件都使用相同的技术来隐藏恶意活动并绕过 Chrome Web Store 中的附加组件验证机制。 所有附加组件的代码在源级别几乎相同,但函数名称除外,函数名称在每个附加组件中都是唯一的。 恶意逻辑是从集中控制服务器传输的。 最初,该附加组件连接到与附加组件名称相同的域(例如 Mapstrek.com),之后它被重定向到其中一个控制服务器,该服务器提供了用于进一步操作的脚本。
通过附加组件执行的一些操作包括将机密用户数据上传到外部服务器、转发到恶意站点以及沉迷于安装恶意应用程序(例如,显示一条消息,表明计算机已被感染,并且在以防病毒软件或浏览器更新为幌子)。 重定向到的域包括各种网络钓鱼域和利用包含未修补漏洞的未更新浏览器的站点(例如,在利用后,尝试安装恶意软件,拦截访问密钥并通过剪贴板分析机密数据的传输)。
来源: opennet.ru