研究人员发现恶意镀铬扩展
官方Chrome商店中发现了近90个恶意谷歌浏览器扩展,可以注入访问的网站,广告,加密电机挖掘代码和代码来记录浏览活动。
根据安全公司趋势科技的研究人员称,这些恶意铬扩展有超过400,000台计算机。
研究人员说,僵尸网络被称为Droidclub,被称为Droidclub,旨在滥用合法的会话重播图书馆,以违反受害者的隐私。
据Joseph Chen,Joseph Chen,欺诈研究人员,欺诈研究人员介绍,虽然研究人员预测了这些库的滥用,但是网站所有者将被批准用于重播用户的访问,这是一个旨在通过网站业主重播用户的访问。在趋势科技。
“攻击者通过混合进行恶意[恶意广告]和社会工程,让用户通过混合来安装这些恶意铬扩展,”他在博客文章中写道。
安装后,旨在检查僵尸网络命令和控制(C&C)服务器是否在线,下载任何所需的配置代码,并报告回C&C服务器。此过程每五分钟重复一次。
将定期弹出一个DROIDCLUB感染的浏览器,将弹出一个显示Web广告的新选项卡。URL和频率都作为来自C&C服务器的配置信息的一部分发送。
研究人员认为,这种僵尸网络正在以这种方式使用,以人为地提高某些广告的印象,从而提高了看法和收入。
DROIDCLUB还旨在修改观看网站的内容,包括将外部链接添加到转到广告的某些关键字并更换现有广告。
来自Yandex Metrica的合法Web Analytics JavaScript库也注入了受害者浏览器上的访问网站,以记录操作,包括鼠标,滚动和击键。
“不幸的是,在攻击者的手中,这代表了一个非常强大的工具,可以违反用户的隐私。陈某说,扩展和图书馆的结合可以窃取进入姓名,信用卡号码,CVV号,电子邮件地址和电话号码等表单的数据,而不是密码,“陈说。
研究人员还发现,以前版本的Droidclub在野外仍然活跃,似乎是2017年4月的似乎创建的野外,其中较新版本于2017年11月创建。
早期版本连接到相同的C&C服务器,似乎专注于注入加密电机挖掘代码。根据校对点的安全研究人员,在台式计算机上无法有效地开采加密货币,分布式僵尸网络可以对其运营商证明非常有利可图。
DROIDCLUB设计成使用户更困难地尝试卸载并报告恶意扩展。如果扩展通过官方Google Chrome频道检测到用户尝试报告扩展,则用户将重定向到其扩展名的介绍页面。如果用户尝试通过Chrome的扩展管理页面删除扩展,则恶意扩展将用户重定向到虚假页面,这导致用户相信已卸载扩展。
趋势科技说有几种方法可以减轻这种威胁:
通过使用Web阻塞服务或阻止这些恶意站点的脚本阻止程序来减少恶意的显示。用户意识培训有助于通过虚假错误消息减少对给予它们的任何命令的用户的风险。Systems Administrators可以设置禁止用户在系统上安装扩展以防止攻击策略的Chrome策略。趋势科技还联系了谷歌,该谷歌已从官方Chrome Web Store中删除了这些扩展。此外,C&C服务器已从CloudFlare中删除。
根据Google的说法,已从Chrome Web Store中删除了受影响的扩展,并禁用所有受影响的Chrome用户的设备。
“目前,我们的安全系统每月阻止超过1,000个恶意扩展。如果延期看起来很可疑,我们会鼓励用户通过Chrome Web Store页面将其报告为潜在的滥用,因此我们可以更深入地审核,“谷歌在趋势科技发表中表示。