安全公司 Radware 报告,犯罪分子利用托管在官方扩展市场 Chrome Web Store 的恶意扩展感染了超过 10 万用户。Google 的安全团队自己发现了 5 个这样的恶意扩展,在 Radware 报告之后下架了另外两个。
在过去的八个月中,恶意的 Chrome 扩展已被证明是互联网使用最广泛的浏览器的致命弱点。去年8月,对扩展开发者账户进行安全保护的规则松懈,导致安装在数百万台计算机上的两个扩展程序受到损害。1月份发生的两起单独事件中,研究人员发现至少有五个恶意扩展被安装了超过50万次。两周前,趋势科技记录了 FacexWorm 的回归,FacexWorm 是七个月前首次被发现的恶意扩展。
Google 似乎正在设法主动检测并删除许多恶意扩展,Radware 观察到其发现的七个扩展中有五个在 Chrome 网上应用店中不再可用。但这不是结束,成功的攻击者总会有办法卷土重来。
“随着这种恶意软件的传播,该组织将继续尝试找出利用被盗资产的新方法,”Radware 研究人员 Adi Raff 和 Yuval Shapira 周四撰文指出最新一批扩展背后的罪犯, “这些组织不断创建新的恶意软件和突变来绕过安全控制。”
这些扩展被推送到 Facebook 发送的链接上,导致人们看到一个虚假的 YouTube 网页,要求安装扩展程序。一旦安装,扩展就会执行使计算机成为僵尸网络一部分的 JavaScript。该僵尸网络偷走了 Facebook 和 Instagram 的凭证,并从受害者的 Facebook 帐户收集了详细信息。然后僵尸网络使用这些窃取的信息将链接发送给被感染者的朋友。这些链接推送了相同的恶意扩展。如果这些朋友中的任何一个点击了这个链接,整个感染过程就会重新开始。
恶意程序还会安装挖矿脚本,挖掘门罗币、bytecoin 和 electroneum 等代币。在过去的六天里,攻击者似乎从数字货币中获益了大约1000美元,大部分是门罗币。为防止用户删除恶意扩展,攻击者设计为每次打开时都会自动关闭选项卡,并将 Facebook 和 Google 提供的各种安全工具列入黑名单。
以下七个扩展被伪装成合法扩展。他们的名字是:
Nigelify
PwnerLike
Alt-j
Fix-case
Divinity 2 Original Sin: Wiki Skill Popup
Keeprivate
iHabno
这些扩展通过机器学习算法引起了 Radware 研究人员的注意,该算法分析了被感染的受保护网络的通信日志。Radware 的研究人员表示,他们相信扩展背后的团队以前从未被发现过。由于在 Chrome 网上应用店中托管恶意扩展程序取得了一定的成功,如果该组织再次发起攻击,并不会令人惊讶。