在兩個多月裡,七個擴展竊取了憑證,並安裝了貨幣礦工!
黑客利用瀏覽器擴展程序感染了超過100,000臺計算機,這些擴展程序竊取了登錄憑據,暗中挖掘加密貨幣,並參與點擊欺詐。更重要的是,他們託管在谷歌官方Chrome網絡商店中。
據安全公司Radware的研究人員週四報道,自今年3月以來,這一活動一直很活躍,目前已知的惡意擴展程序有七種。谷歌的安全團隊自行刪除了其中的五個擴展,並在Radware報告發布後又刪除了兩個。Radware稱,所有的惡意插件感染了超過100,000個用戶,其中至少有一個處於一家不知名的全球製造公司的“保護良好的網絡”中。
安全的瀏覽器,脆弱的鏈接
在過去的8個月裡,惡意的Chrome擴展程序已經被證明是互聯網上最廣泛使用的、可以說是最安全的瀏覽器的致命弱點。去年8月,對擴展開發者賬戶保護的寬鬆政策,導致了安裝在數百萬臺電腦上的擴展程序受到損害。在今年1月發生的兩起獨立事件中,研究人員發現至少有5個惡意擴展程序被安裝了超過50萬次。兩週前,Trend Micro記錄了FacexWorm的迴歸,這是一個惡意的擴展,早在7個月前就被發現了。
谷歌設法成功地檢測並移除了許多惡意擴展,正如Radware發現的7個擴展中有5個已經在Chrome網絡商店中找到的並刪除。但是,經常成功展開攻擊的黑客會享受這一切,並會繼續將一連串糟糕的擴展進行下去。
“隨著這種惡意軟件的傳播,黑客組織繼續嘗試找出利用被盜資產的新方法,”Radware研究人員Adi Raff和Yuval Shapira在週四的報告中寫到。“這些組織不斷創建新的惡意軟件和突變來繞過安全控制。”
谷歌發言人表示,公司員工在收到報告後的數小時內就從Chrome網絡商店中刪除了擴展程序以及感染了用戶的瀏覽器。
這些擴展是在Facebook上發送的鏈接中被推送的,導致人們使用了一個虛假的YouTube頁面,要求用戶安裝擴展程序。一旦安裝,擴展就會執行JavaScript 使計算機成為殭屍網絡一部分。該殭屍網絡竊取了Facebook和Instagram的憑證,並從受害者的Facebook帳戶收集了詳細信息。然後殭屍網絡通過竊取的信息將鏈接發送給被感染者的朋友,推送相同的惡意擴展。如果這些朋友中的任何一個都按照鏈接要求進行操作,新一輪的感染過程便會重新開始。
此外,該殭屍網絡還安裝了挖掘加密貨幣的礦工,加密貨幣包括門羅幣、百特幣和以太坊。在過去的六天裡,攻擊者似乎在數字硬幣中獲取了大約1000美元,大部分都是門羅幣。為防止用戶刪除惡意擴展,攻擊者每次打開時都會自動關閉擴展選標籤,並將Facebook和Google提供的各種安全工具列入黑名單。
七種偽裝成合法擴展的惡意程序分別是:
☞Nigelify
☞PwnerLike
☞Alt-j
☞Fix-case
☞Divinity 2 Original Sin: Wiki Skill Popup
☞Keeprivate
☞iHabno
通過一些機器學習算法使得這些惡意擴展程序引起了Radware研究人員的注意,該算法分析了受感染網絡的通信日誌。Radware的研究人員表示,他們相信擴展背後的團隊以前從未被發現過。由於在Chrome網絡商店中託管惡意擴展程序取得了一定的成功,如果該團隊再次發起攻擊,也就不足為奇了。
【關注我們,看最有料的雲計算】
閱讀更多 雲有料 的文章
