最近安全專家在研究中發現有多個惡意的Chrome擴展插件和瀏覽器劫機者(Browser Hijackers)感染了超過200萬用戶。瀏覽器劫機者是一種不受歡迎的程序,它在沒有用戶許可的情況下修改瀏覽器設置,并將瀏覽器重定向到用戶不打算訪問的特定網頁。安裝后,瀏覽器劫機者可能會通過將用戶重定向到惡意網站,為后期的惡意攻擊打開大門。
我們發現的所有惡意擴展插件都出現在Chrome網絡商店中。安裝后,我們觀察到瀏覽器的劫機者在用戶不知情的情況下試圖改變瀏覽器的默認搜索引擎。
我們同時也注意到如果用戶試圖恢復到默認的瀏覽器設置,瀏覽器的插件擴展功能將無法工作。
這些惡意的擴展插件將用戶查詢發送到不同的服務器,然后從其他搜索引擎返回搜索結果 ,如雅虎或必應,而不是默認的搜搜引擎。這樣的搜索查詢重定向可以收集用戶信息,插入廣告,甚至給黑客帶來直接的經濟利益
在技術分析中,我們將介紹三種主要針對的瀏覽器劫機者
Hijacker Plugin 1:
WebSecurerr瀏覽器保護擴展,它聲稱保護用戶免受惡意網站攻擊。它的安裝量超過20萬,目前在Chrome網上商店上很活躍。
安裝后,惡意擴展插件會打開一個新的選項卡,它敦促用戶保持它所做的更改。如果用戶點擊“更改回去”或手動嘗試恢復到默認設置,擴展將無法工作或將自動禁用。
這個擴展試圖改變瀏覽器搜索URL為“go.searchsecurer.com”,并進一步將用戶的搜索查詢重定向到雅虎搜索引擎。使用這種重定向技術可以很容易地捕獲用戶的搜索關鍵字.
捕獲搜索關鍵字后,擴展驗證關鍵字是否是一個域名,并以JSON格式將其與托管在searchsecrrer. com上的硬編碼域列表進行比較。如果匹配,它要么阻止請求,要么顯示警告消息。
這些JSON文件總共包含超過1000個域名,我們觀察到其中一些也是合法網站。因此,這個擴展可能會顯示合法網站的警告消息。
此外,在代碼中發現,該擴展的開發人員可能為STOPPROPAGANDA campaign 效力,表明該擴展的作者可能正在將更多的流量重定向到俄羅斯政府網站。下圖顯示了當用戶添加的URL被標記為惡意時,將用戶帶到俄羅斯網站的代碼。
目前,由于編碼缺陷,或者開發人員故意修改了該代碼,該代碼無法使用。這個擴展顯示一個警告消息時,它標記為惡意的網站。當用戶單擊警告消息中顯示的鏈接,又會被重定向到俄羅斯政府網站。
Hijacker Plugin 2 :
Ultrasurf允許用戶通過利用代理服務器繞過互聯網審查法律。這個擴展在Chrome網絡商店有超過80萬的安裝。
Extension ID: mjnbclmflcpookeapghfhapeffmpodij
Name: UltraSurf Security, Privacy & Unblock VPN
Browser: Chrome
安裝后,這個擴展改變受害者瀏覽器的默認搜索URL的為smartwebfinder[.]com。研究人員在過去也發現了一些擴展,將默認搜索引擎改為“smartwebfinder”。
用戶搜索經過多次重定向,最終結果將通過必應搜索引擎顯示。這個擴展創建多個重定向,導致顯示搜索結果的延遲。下圖顯示了這些重定向
這個擴展需要遵循瀏覽器的權限來訪問chrome的內置api:
webRequest: 提供chrome擴展訪問。webRequest API用于觀察和分析流量,并可以攔截、阻塞或修改流量中的請求。
storage:提供對chrome的擴展訪問。存儲API。
proxy:授予擴展訪問chrome。代理API
當瀏覽器上每次搜索操作時,這個擴展可以會在一個新選項卡中重復多次打開“ultrasurfing.com",并通過不必要的消耗資源而降低系統的運行速度。
擴展使用chrome.tabs.create()方法來創建一個新的選項卡。下圖顯示了使用唯一的TabID創建新選項卡并打開ultrasurfing[.]com的代碼
Hijacker Plugin 3
根據描述,Inte.NET-Start聲稱可以替換用戶當前的搜索結果,并將搜索查詢的結果轉換為更方便的格式。
下圖顯示了安裝量超過100萬的Chrome擴展。
Extension ID: llcdellnofncikmhimjdbkdjgpmcjbik
Name: Internet-Start
Browser: Chrome
安裝后,這個擴展改變您的默認搜索引擎為internet-start[.]net。這個擴展聲稱有多種功能。然而,我們并沒有觀察到其他功能。該擴展聲稱可以阻止廣告,但它顯示的結果中卻包含了其他與用戶輸入的搜索關鍵字或用戶情緒相關的廣告。
在我們的分析中,發現該擴展試圖收集用戶數據,以創建有針對性的廣告。這個擴展將流量重定向到Yandex指標,由Yandex提供的基于web的分析服務,跟蹤和報告網站流量。
它還使用AdSense,使開發商能夠產生廣告收入。下圖顯示了搜索活動期間擴展的網絡活動。
總結
Web擴展在所有最流行的瀏覽器中廣泛使用,使它們成為將用戶重定向到惡意網站的主要載體。劫機者還可以用來監視用戶,并執行廣告活動來創收。
擴展開發人員還可以將用戶數據出售給第三方以獲得經濟利益
