惡意Chrome擴充功能,組成 Droidclub殭屍網路,秀色情廣告、竊個資,還可能挖礦

惡意Chrome擴充功能,組成 Droidclub殭屍網路,秀色情廣告、竊個資,還可能挖礦


趨勢科技發現一個新的殭屍網路,它透過Chrome擴充功能散播並且影響了成千上萬的使用者(這個惡意擴充功能被偵測為BREX_DCBOT.A)。該殭屍網路會將廣告和虛擬貨幣挖礦程式碼注入受害者所瀏覽的網站,我們將這殭屍網路命名為Droidclub。

除了上述功能,Droidclub還會濫用正常的 session重播程式庫。這些腳本被注入使用者所瀏覽的每個網站,好讓網站所有者可以看到使用者看到什麼及輸入電腦的內容等等。

攻擊者混合了惡意廣告和社交工程攻擊誘騙使用者安裝這些惡意Chrome擴充功能。在官方Chrome網路商店上總共發現了89個 Droidclub擴充功能。根據它們的頁面,我們估計有多達423,992個使用者受害。Google已經從官方Chrome網路商店移除這些擴充功能;而C&C伺服器也已經從Cloudflare移除。

 

下圖秀出Droidclub的完整行為:

惡意Chrome擴充功能,組成 Droidclub殭屍網路,秀色情廣告、竊個資,還可能挖礦

圖1、Droidclub感染流程

 

惡意廣告顯示錯誤訊息,誘騙使用者下載擴充功能

Droidclub混合了惡意廣告和社交工程攻擊來進行散播。惡意廣告被用來顯示假的錯誤訊息以要求使用者下載擴充功能:

惡意Chrome擴充功能,組成 Droidclub殭屍網路,秀色情廣告、竊個資,還可能挖礦

圖2、跳出錯誤訊息視窗,誘使受害者安裝Droidclub擴充功能

 

如果使用者點擊“OK”,Chrome瀏覽器會在背景從Chrome網路商店下載擴充功能。然後詢問使用者是否要繼續安裝並列出所需的權限。

一旦安裝,這個擴充功能就會檢查C&C伺服器是否活著並下載所需的設定,然後回報給C&C伺服器。每五分鐘就會重複這個過程一次。

這些擴充功能被設計成看起來無害,只是有點無厘頭。

惡意Chrome擴充功能,組成 Droidclub殭屍網路,秀色情廣告、竊個資,還可能挖礦

圖3、Droidclub擴充功能範例

 

定期跳出分頁顯示色情網站廣告或漏洞攻擊套

Droidclub背後的攻擊者可能會利用這殭屍網路來人為提高某些廣告的顯示次數,從而增加觀看次數和收入。

感染Droidclub的瀏覽器會定期跳出分頁來顯示廣告。網址和頻率都包含在C&C伺服器所給的設定中。目前這惡意軟體被用來送出低級廣告(如色情網站)或漏洞攻擊套件。Droidclub背後的攻擊者可能會利用這殭屍網路來人為提高某些廣告的顯示次數,從而增加觀看次數和收入。

惡意Chrome擴充功能,組成 Droidclub殭屍網路,秀色情廣告、竊個資,還可能挖礦

圖4、Droidclub設定檔

 

Droidclub也可以修改所瀏覽網站的內容。這擴充功能目前會注入各種Javascript程式碼,其中一個會修改網頁來對特定關鍵字加上外部連結。這些連結也會連到廣告。原始網站的廣告也被替換成攻擊者選擇的廣告(程式碼經由搜尋跟廣告相符的IFRAME尺寸來做到)。

惡意Chrome擴充功能,組成 Droidclub殭屍網路,秀色情廣告、竊個資,還可能挖礦

圖5、注入的惡意腳本

 

攻擊者濫用合法工具竊取輸入的資料,如姓名、信用卡號、CVV碼、電子郵件地址和電話號碼

 來自Yandex Metrica的Javascript程式庫也被注入受害者瀏覽的網站(沒有修改原始網站)。這是正常的網站分析程式庫,網站所有者可以用它來評估訪客如何使用自己的網站。這個程式庫啟用被稱為session重播的功能,可以記錄各種使用者操作,如滑鼠點擊、捲動和按鍵。

不幸的是,攻擊者也可以濫用這個工具而成為損害使用者隱私的強大武器。擴充功能加上程式庫可以竊取輸入的資料,如姓名、信用卡號、CVV碼、電子郵件地址和電話號碼等。這程式庫並沒有設計會擷取密碼,所以惡意份子並不會偷到密碼。下面的影片顯示出程式庫可以取得的資料。我們在測試時更換了攻擊者所用的Yandex帳號。

惡意Chrome擴充功能,組成 Droidclub殭屍網路,秀色情廣告、竊個資,還可能挖礦

圖6、Session重播如何記錄使用者行為

 

我們在研究過程發現存在著之前版本的Droidclub。當它跟同樣一組C&C伺服器溝通時所用的協定和C&C命令格式不同。根據上傳到Chrome網路商店的日期,這些是在2017年4月建立的早期版本(其他版本是2017年11月建立)。

 

當心虛擬貨幣挖礦程式出沒

這個舊版本最主要的不同是加入了虛擬貨幣挖礦程式。這些早期版本會將Coinhive虛擬貨幣挖礦程式碼注入所瀏覽的網站,將瀏覽器變成門羅幣礦工。儘管現在的版本不會注入這程式碼,但這Coinhive程式碼仍然可以正常運作,也可以在未來被重新加入。

帶有Coinhive 挖礦程式碼的Droidclub早期版本

圖7、帶有Coinhive程式碼的Droidclub早期版本

 

若透過Chrome擴充功能管理頁面移除擴充功能,會被導到已經被移除的假網頁

Droidclub的設計使讓使用者更難加以移除或回報惡意擴充功能。如果擴充功能偵測到使用者嘗試回報(檢查使用者是否連上符合以下字串“https://chrome.google.com/webstore/report/([az]+)”的網址),使用者會被重新導回擴充功能介紹頁面。想透過Chrome擴充功能管理頁面(chrome://extensions/)來移除擴充功能則會被導到假網頁來讓使用者以為該擴充功能已經被移除,隨然實際上它仍留在使用者的瀏覽器中。

圖8、假擴充功能管理頁面

 

解決方案

有幾個作法可以減輕這種威脅。透過網頁封鎖服務或腳本封鎖程式可以一開始就阻止這些惡意網站顯示惡意廣告。訓練使用者提高安全意識也有助於降低使用者被假錯誤訊息(如本次攻擊中所看到)所騙的風險。

系統管理員也可以設定Chrome政策來禁止使用者自己安裝擴充功能。這可以防止這類攻擊,因為惡意擴充功能將無法進入目標系統。

我們已經聯繫Google(從Chrome網路商店移除這些擴充功能)和Cloudflare(從Cloudflare服務移除C&C伺服器)。我們收到以下的Google回覆:

We’ve removed the affected extensions from the Chrome Web Store and have disabled them on devices of all affected Chrome users. Keeping the extensions ecosystem free from malware and abuse has always been a priority and we are always working on closing gaps to address new abuse patterns that emerge. Currently, our security systems block more than 1,000 malicious extensions per month. If an extension looks suspicious, we encourage users to report it as potential abuse through the chrome web store page so we can review it in greater depth.

我們已從Chrome網路商店移除受影響的擴充功能,並在所有受影響Chrome使用者的設備上將其停用。保持擴充功能生態系免於惡意軟體和惡意濫用一直是優先目標,我們一直在努力追趕以解決新出現的惡意濫用模式。目前,我們的安全系統每月封鎖超過1,000個惡意擴充功能。如果擴充功能看起來可疑,建議使用者透過Chrome網路商店網頁來回報可能的惡意濫用行為,好讓我們可以更深入地進行審查。

 

Cloudflare也從其服務移除了C&C伺服器。Yandex也提供了以下聲明:

 

Recently, we learned that the Yandex.Metrica session replay tool was being used to acquire users’ private data. We built session replay to help website owners and marketers provide a better experience for users but like many other tools on the internet, it unfortunately has been used in a malicious way. We are working in every way possible to update our product to prevent particularly sensitive information from being detected and tracked. We have always been committed to the safety and security of users and their privacy online and we will continue to adjust to new challenges and threats as they emerge.

最近,我們了解到Yandex.Metrica session重播工具被用來擷取使用者的私人資料。我們打造session重播功能來幫助網站所有者和行銷人員替使用者提供更好的體驗,但就跟網路上許多其他的工具一樣,它不幸的被用在惡意用途。我們正在盡一切可能來更新產品以防止敏感資料被偵測和追踪。我們一直致力於使用者及其線上隱私的安全防護,我們將繼續調整以面對新出現的挑戰和威脅。

 

趨勢科技的XGen安全防護提供跨世代混合的威脅防禦技術來處理資料中心雲端環境網路端點所面臨的各種威脅。它具備了高保真機器學習技術來保護閘道端點上的資料及應用程式,同時保護實體、虛擬和雲端的工作機。藉由網頁/網址過濾、行為分析和客製化沙箱等技術,讓XGen可以抵禦今日特製來繞過傳統安全軟體並利用已知、未知或未公開漏洞的攻擊。智慧化、最佳化且互相連結,XGen驅動著趨勢科技的安全解決方案:Hybrid Cloud Security、User Protection和Network Defense。

 

入侵指標

 

可以到此下載包含各種Droidclub擴充功能以及所使用網域的附件。

 

@原文出處:Malicious Chrome Extensions Found in Chrome Web Store, Form Droidclub Botnet

🔴延伸閱讀:
趨勢科技 PC-cillin 2018 防毒軟體雲端版好強大!跟偷挖礦、勒索病毒說掰掰

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位