兩個多月以來，犯罪分子利用Chrome擴展程序感染了超過逾10萬臺電腦，並用它竊取用戶登錄憑據，利用他挖礦，自動點擊廣告。

然而諷刺地是，惡意擴展還光明正大託管在谷歌官方的Chrome Store中。

一個合法的Chrome擴展程序：

七個惡意Chrome擴展之一:

根據radware的研究報告，從2018年3月份開始已經相繼發現7種惡意擴展，Google的安全團隊已經刪除了五個擴展，並在Radware報告之後再刪除了其他兩個擴展。加起來，這些惡意擴展已經感染了超過100,000個用戶，其中還包括一家未透漏名稱的全球知名製造廠商。

安全的瀏覽器，薄弱的鏈接

在過去的八個月中，惡意的擴展已經被證明是互聯網使用最廣泛，聲稱最安全的瀏覽器Chrome的致命弱點。

去年8月，對擴展開發者賬戶進行的安全保護規則放鬆，導致安裝在數百萬臺計算機上的通過兩個擴展程序發起攻擊。 相關報道《在釣魚攻擊之後，Chrome擴展程序給數百萬人推送了廣告》：

近年1月份發生的兩起單獨事件中，研究人員又發現至少有五個惡意擴展安裝了超過50萬次。兩週前，趨勢科技發現FacexWorm又迴歸了，FacexWorm是七個月前曾首次發現的惡意擴展。相關報道：《下載量500,000的Google Chrome擴展是惡意程序》。

谷歌通過主動檢測並刪除了很多惡意擴展，雖然很有成效，但是仍有漏網之魚。Radware發現七個擴展中有五個在Chrome應用商中被刪除。谷歌發言人表示，公司員工在收到報告後的數小時內從Chrome 應用商店中刪除了其他兩個擴展程序。

這些擴展通過社交網絡Facebook的鏈接進行推送傳播，點擊後會有一個虛假的YouTube頁面，並要求安裝擴展。一旦安裝，擴展就會自動執行惡意JavaScript代碼使把機器變成肉雞，開始竊取Facebook和Instagram的用戶認證憑證，並從受害者的Facebook帳戶收集其他更多的信息。然後將惡意的鏈接推送給更多的Facebook好友。如果有人點擊了這個鏈接，就會被感染。整個感染就是通過這樣的方法，以滾雪球的方式在社交網絡中傳播，由一個個感染的肉雞構成了殭屍網絡。

該殭屍網絡還會在感染的肉雞上運行monero，bytecoin和electroneum數字幣的挖礦程序，利用肉雞進行挖礦。預計在過去的六天裡，這些挖礦程序挖到了大約1000美元的幣，大部分是monero。為防止用戶刪除擴展，當用戶每次打開時都會自動關閉擴展選項卡，並將Facebook和谷歌提供的各種安全工具都加到黑名單中。

這七個擴展都通過使用相近名稱的方式偽裝成合法擴展，名字和擴展ID如下圖：

Radware研究人員通過這些機器學習算法發現了這些惡意擴展，該算法分析了受感染的私有網絡的網絡通訊日誌。 Radware的研究人員表示，他們相信擴展背後的隱藏團隊是以前從未被發現過的。由於通過Chrome應用商店託管惡意擴展程序取得過一定的成功，不排除這些組織會再次發起攻擊。

惡意JS程序包括：

惡意程序發起的請求示意：