研究人员周四表示，超过500个浏览器扩展从谷歌的Chrome网络商店中下载了数百万次，这些扩展偷偷地将私人浏览数据上传到攻击者控制的服务器上。

 

独立研究人员贾米拉·卡亚(Jamila Kaya)发现，这些扩展是一项长期的恶意广告和广告欺诈计划的一部分。她和思科旗下Duo Security的研究人员最终确定了71个Chrome网络商店扩展，安装数量超过170万。在研究人员私下向谷歌报告他们的发现后，该公司确定了430多个额外的扩展。谷歌已经删除了所有已知的扩展。

 

Kaya和Duo安全研究员Jacob Rickerd在一份报告中写道:“在这里所报道的案例中，Chrome扩展的开发者特意做了一些扩展，混淆了用户潜在的广告功能。”“这样做是为了将浏览器客户端连接到命令和控制架构，在用户不知情的情况下窃取隐私浏览数据，通过广告流让用户暴露于被利用的风险，并试图逃避Chrome网络商店的欺诈检测机制。”

 

一个重定向、恶意软件和更多的迷宫

 

这些扩展主要是作为提供各种推广和广告服务的工具。事实上，沐鸣开户测速他们通过将受感染的浏览器在一个模糊的迷宫中移动，进行广告欺诈和恶意宣传。每个插件首先连接到使用与插件相同名称的域(例如:Mapstrek[。)来检查是否卸载自己的指令。

 

然后插件将浏览器重定向到少数几个硬编码的控制服务器之一，以接收额外的指令、上传数据的位置、广告提要列表和用于未来重定向的域。受感染的浏览器然后上传用户数据，更新插件配置，并通过网站重定向流。

 

周四的报告继续说:

 

用户经常收到新的重定向域，因为它们是批量创建的，多个较早的域是在同一天和同一小时创建的。它们都以相同的方式运行，从主机接收信号，然后将其发送到一系列的广告流，然后发送到合法和非法的广告。其中一些被列在IOCs的“End domains”部分，尽管它们数量众多，难以列出。

 

许多重新定向导致了梅西百货、戴尔和百思买产品的良性广告。使计划恶意和虚假的是(a)的大量广告内容(多达30重定向在某些情况下),(b)故意隐瞒大部分广告的终端用户,和(c)的使用广告定向流发送感染恶意软件和网络钓鱼网站的浏览器。与插件站点相关的两个恶意软件样本是:

 

ARCADEYUMGAMES。读取终端服务相关密钥并从本地浏览器访问潜在的敏感信息的exe，以及

 

MapsTrek。exe，它可以打开剪贴板

 

除了一个网站外，该计划中使用的所有网站之前都没有被威胁情报机构归类为恶意或欺诈。唯一的例外是密苏里州，它将DTSINCE[。[]com，为数不多的硬编码控制服务器之一，用作钓鱼网站。

 

研究人员发现，有证据表明，该活动至少从2019年1月就开始了，而且增长迅速，尤其是从3月到6月。运营商的活跃时间可能更长，最早可能在2017年。

 

尽管这500个插件看起来各不相同，但它们都包含几乎相同的源代码，沐鸣开户测速只有函数名是惟一的。Kaya在CRXcavator的帮助下发现了这些恶意插件，CRXcavator是一个评估Chrome扩展安全性的工具。它是由Duo Security开发的，去年免费提供。几乎所有的插件都没有用户评价，这使得研究人员无法确定这些插件是如何安装的。谷歌感谢研究人员报告了他们的发现。

 

谨防扩展