趨勢科技發現一個新的殭屍網路,它透過Chrome擴充功能散播並且影響了成千上萬的使用者(這個惡意擴充功能被偵測為BREX_DCBOT.A)。該殭屍網路會將廣告和虛擬貨幣挖礦程式碼注入受害者所瀏覽的網站,我們將這殭屍網路命名為Droidclub。
除了上述功能,Droidclub還會濫用正常的 session重播程式庫。這些腳本被注入使用者所瀏覽的每個網站,好讓網站所有者可以看到使用者看到什麼及輸入電腦的內容等等。
攻擊者混合了惡意廣告和社交工程攻擊誘騙使用者安裝這些惡意Chrome擴充功能。在官方Chrome網路商店上總共發現了89個 Droidclub擴充功能。根據它們的頁面,我們估計有多達423,992個使用者受害。Google已經從官方Chrome網路商店移除這些擴充功能;而C&C伺服器也已經從Cloudflare移除。
下圖秀出Droidclub的完整行為:
圖1、Droidclub感染流程
惡意廣告顯示錯誤訊息,誘騙使用者下載擴充功能
Droidclub混合了惡意廣告和社交工程攻擊來進行散播。惡意廣告被用來顯示假的錯誤訊息以要求使用者下載擴充功能:
圖2、跳出錯誤訊息視窗,誘使受害者安裝Droidclub擴充功能
如果使用者點擊“OK”,Chrome瀏覽器會在背景從Chrome網路商店下載擴充功能。然後詢問使用者是否要繼續安裝並列出所需的權限。
一旦安裝,這個擴充功能就會檢查C&C伺服器是否活著並下載所需的設定,然後回報給C&C伺服器。每五分鐘就會重複這個過程一次。
這些擴充功能被設計成看起來無害,只是有點無厘頭。
圖3、Droidclub擴充功能範例
定期跳出分頁顯示色情網站廣告或漏洞攻擊套件
Droidclub背後的攻擊者可能會利用這殭屍網路來人為提高某些廣告的顯示次數,從而增加觀看次數和收入。 繼續閱讀
