幾個月前,Google在部落格上發表了一篇文章,告知 Google Chrome 的使用者不能從第三方安裝瀏覽器擴充套件。原因是:安全性。透過只允許官方 Chrome 網路商店來的擴充套件,Google宣稱可以加以管制以防止惡意擴充套件。
不幸的是,這種做法不足以嚇阻不法份子。趨勢科技之前報導過有惡意軟體想辦法繞過此功能並安裝惡意的瀏覽器擴充套件。我們最近還發現惡意份子將惡意擴充套件放到官方的網路商店上。
Facebook垃圾訊息
此攻擊的第一步從社群媒體開始。垃圾訊息被散佈到 Facebook上,內含一個和醉酒女孩相關的影片連結。當收到訊息的人點下連結,就會被重新導向到一個假冒 YouTube 的網站。出現通知說明要安裝特定 Chrome擴充套件才能觀看影片。
圖1、假YouTube 網站要求安裝瀏覽器擴充套件
一旦使用者繼續進行,就會被導到官方Chrome網路商店去下載該擴充套件。安裝擴充套件之後,會將使用者導回真正的醉酒女孩YouTube影片。
圖2、瀏覽器擴充套件放在官方Chrome網路商店
圖3、使用者被導向正常的YouTube網站
一旦安裝,惡意擴充套件(被偵測為BREX_FEBIPOS.OKZ)會執行像在Facebook更新狀態和留言等動作。它還可以透過Facebook的聊天功能來發送訊息和連結,這或許也說明了惡意擴充套件一開始是怎麼去散播連結的。
以下是這個後門程式會在 受害人facebook 啟動的惡意行為:
- 更新臉書動態
- 臉書留言
- 主動在朋友牆上留言
- 自動加入粉絲團
- 追蹤特定臉書帳號
- 利用臉書聊天功能發訊息和連結
- 標籤臉書朋友
- 加入臉書社團
擴充套件的幕後黑手
趨勢科技的調查顯示這惡意擴充套件背後的作者租用了俄羅斯的虛擬專用伺服器(VPS),也在那註冊了幾個網域:
- meusvirais[.]info – 用來讓受感染使用者傳送偷來資料的C&C。偷來的資料指的是熱門網路服務的帳號登入憑證資料,如Google、Facebook和Twitter。
- cbrup[.]info – 用來維護偷竊資料時破解CAPTCHA驗證碼用之軟體的網域。該伺服器也接收偷來的資料。
- SuperFunVideos[.]info – 用來註冊Chrome商店的擴充套件。
- brsupbr[.]info – 沒用在此攻擊
來自趨勢科技主動式雲端截毒服務 Smart Protection Network的資料顯示,大部分會連上這些網站的使用者來自巴西。其他受害者來自英國、美國和阿根廷等國家。
至少有另一個VPS代管了30個不同網域來推銷減肥產品、英文語言教學服務和在家工作機會。使用among.us作為線上計數器來計算受害者,和用 Dropbox 來放置詐欺網頁。
更多惡意擴充套件
不幸的是,這不是趨勢科技在網路商店中所發現的唯一惡意擴充套件。我們已經在那看到幾個可能的惡意擴充套件。這些擴充套件一看就很可疑。它們在最近發表,沒有敘述它們所謂的功能,或有重複的名稱。其中一些甚至和惡意擴充套件有相同的「作者」。再仔細地看,這些擴充套件帶有混淆JavaScript程式碼。更糟的是,這些擴充套件的下載次數達到數千次。
趨勢科技建議使用者避免點入來自訊息的連結,即使它們看似來自朋友或連絡人。這次攻擊顯示出訊息可能是來自淪陷的帳號。我們也建議使用者仔細檢查瀏覽器擴充套件。安裝任何擴充套件前先閱讀評論和檢查評等。這可以讓使用者知道這些擴充套件是否真是它們所宣稱的東西。
這攻擊中所用到的擴充套件已經不在Chrome網路商店上。我們已經向Google提報其他擴充套件。
惡意檔案的SHA1值是:
- b7d2c9d221e0e04ffb8090d3067c9b8ee50967e0
- 027a7f5474168be5e8f8cba16bee3703c5b7e2ee
@原文出處:Uncovering Malicious Browser Extensions in Chrome Web Store作者:Fernando Mercês(資深威脅研究員)
趨勢科技PC-cillin 雲端版 獨家【Facebook隱私權監測】,手機、平板、電腦全方衛!即刻免費下載
