阻止 Chrome 瀏覽器的一系列惡意加載項,影響了數百萬用戶。 在第一階段,獨立研究員賈米拉·卡亞(Jamila Kaya)()和 Duo Security 已在 Chrome 線上應用程式商店中識別出 71 個惡意加載項。 這些附加組件的安裝總數已超過 1.7 萬次。 在向Google通報問題後,在目錄中發現了 430 多個類似的附加元件,但未報告其安裝數量。
值得注意的是,儘管安裝數量令人印象深刻,但沒有一個有問題的附加元件有用戶評論,這引發了人們對附加元件如何安裝以及惡意活動如何未被檢測到的疑問。 所有有問題的加載項現已從 Chrome 線上應用程式商店中刪除。
研究人員表示,與被封鎖的附加元件相關的惡意活動自 2019 年 2017 月以來一直在發生,但用於執行惡意操作的單一網域早在 XNUMX 年就已註冊。
在大多數情況下,惡意加載項是作為推廣產品和參與廣告服務(使用者查看廣告並收取版稅)的工具提供的。 這些附加元件使用了一種在開啟頁面時重定向到廣告網站的技術,這些頁面在顯示請求的網站之前以鏈的形式顯示。
所有附加元件都使用相同的技術來隱藏惡意活動並繞過 Chrome Web Store 中的附加元件驗證機制。 所有附加元件的程式碼在來源層級幾乎相同,但函數名稱除外,函數名稱在每個附加元件中都是唯一的。 惡意邏輯是從集中控制伺服器傳輸的。 最初,該附加元件連接到與附加元件名稱相同的網域(例如 Mapstrek.com),之後它被重定向到其中一個控制伺服器,該伺服器提供了用於進一步操作的腳本。
透過附加元件執行的一些操作包括將機密使用者資料上傳到外部伺服器、轉發到惡意網站以及沉迷於安裝惡意應用程式(例如,顯示一條訊息,表明電腦已被感染,並且在以防病毒軟體或瀏覽器更新為幌子)。 重定向到的網域包括各種網路釣魚網域和利用包含未修補漏洞的未更新瀏覽器的網站(例如,在利用後,嘗試安裝惡意軟體,攔截存取金鑰並透過剪貼簿分析機密資料的傳輸) 。
來源: opennet.ru