两个多月以来,犯罪分子利用Chrome扩展程序感染了超过逾10万台电脑,并用它窃取用户登录凭据,利用他挖矿,自动点击广告。
然而讽刺地是,恶意扩展还光明正大托管在谷歌官方的Chrome Store中。
一个合法的Chrome扩展程序:
七个恶意Chrome扩展之一:
根据radware的研究报告,从2018年3月份开始已经相继发现7种恶意扩展,Google的安全团队已经删除了五个扩展,并在Radware报告之后再删除了其他两个扩展。加起来,这些恶意扩展已经感染了超过100,000个用户,其中还包括一家未透漏名称的全球知名制造厂商。
安全的浏览器,薄弱的链接
在过去的八个月中,恶意的扩展已经被证明是互联网使用最广泛,声称最安全的浏览器Chrome的致命弱点。
去年8月,对扩展开发者账户进行的安全保护规则放松,导致安装在数百万台计算机上的通过两个扩展程序发起攻击。 相关报道《在钓鱼攻击之后,Chrome扩展程序给数百万人推送了广告》:
近年1月份发生的两起单独事件中,研究人员又发现至少有五个恶意扩展安装了超过50万次。两周前,趋势科技发现FacexWorm又回归了,FacexWorm是七个月前曾首次发现的恶意扩展。相关报道:《下载量500,000的Google Chrome扩展是恶意程序》。
谷歌通过主动检测并删除了很多恶意扩展,虽然很有成效,但是仍有漏网之鱼。Radware发现七个扩展中有五个在Chrome应用商中被删除。谷歌发言人表示,公司员工在收到报告后的数小时内从Chrome 应用商店中删除了其他两个扩展程序。
这些扩展通过社交网络Facebook的链接进行推送传播,点击后会有一个虚假的YouTube页面,并要求安装扩展。一旦安装,扩展就会自动执行恶意JavaScript代码使把机器变成肉鸡,开始窃取Facebook和Instagram的用户认证凭证,并从受害者的Facebook帐户收集其他更多的信息。然后将恶意的链接推送给更多的Facebook好友。如果有人点击了这个链接,就会被感染。整个感染就是通过这样的方法,以滚雪球的方式在社交网络中传播,由一个个感染的肉鸡构成了僵尸网络。
该僵尸网络还会在感染的肉鸡上运行monero,bytecoin和electroneum数字币的挖矿程序,利用肉鸡进行挖矿。预计在过去的六天里,这些挖矿程序挖到了大约1000美元的币,大部分是monero。为防止用户删除扩展,当用户每次打开时都会自动关闭扩展选项卡,并将Facebook和谷歌提供的各种安全工具都加到黑名单中。
这七个扩展都通过使用相近名称的方式伪装成合法扩展,名字和扩展ID如下图:
Radware研究人员通过这些机器学习算法发现了这些恶意扩展,该算法分析了受感染的私有网络的网络通讯日志。 Radware的研究人员表示,他们相信扩展背后的隐藏团队是以前从未被发现过的。由于通过Chrome应用商店托管恶意扩展程序取得过一定的成功,不排除这些组织会再次发起攻击。
恶意JS程序包括:
恶意程序发起的请求示意:
閱讀更多 蟲蟲安全 的文章
