四个恶意Chrome扩展程序影响了五十万

  • 时间:
  • 浏览:59
  • 来源:it300
四个恶意Chrome扩展程序影响了五十万

ICEBRG报告称,四种恶意Chrome扩展程序成功感染了全球50多万用户,包括主要组织的员工。

扩展可能用于进行点击欺诈和/或搜索引擎优化(SEO)安全公司警告称,威胁行为者也可以利用它们来获取企业网络和用户信息。

ICEBRG透露,在观察到从客户工作站到欧洲VPS提供商的出站流量出现异常高峰后,发现了恶意扩展。 HTTP流量与域“change-request [。] info”相关联,并且是从名为“更改HTTP请求标头”的Chrome扩展程序生成的。

虽然扩展本身不包含“任何公开的恶意代码,“研究人员发现”两个关注项“的组合可能导致通过扩展注入和执行任意JavaScript代码。

Chrome可以执行JSON中包含的JavaScript代码但是,到期出于安全考虑,不允许扩展从外部源检索JSON,但需要通过内容安全策略(CSP)明确请求其使用。

但是,当启用权限时,扩展可以从外部控制的服务器检索和处理JSON,这允许扩展作者在更新服务器收到请求时注入并执行任意JavaScript代码。

ICEBRG研究人员发现,改变HTTP请求标头扩展可以下载ob通过'update_presets()'函数从'change-request [。] info'中获取JSON文件。观察到混淆的代码检查本机Chrome调试工具,并在检测到此类工具时停止受感染段的执行。

注入后,恶意JavaScript会创建一个带有“change-request [。] info”的WebSocket隧道,并使用它来通过受害者的浏览器代理浏览流量。

“在观察期间,威胁行为者专门用于访问广告相关领域,表明潜在的点击欺诈活动正在进行中。点击欺诈活动使恶意方通过强迫受害者系统访问按点击付费(PPC)的广告网站来赚取收入,“ICEBRG报道。

然而,能力,威胁行为者也可以使用它来浏览受害者网络的内部网站,从而有效地绕过边界控制。

安全研究人员还发现,改变HTTP请求标头并不是唯一可以在其中工作的Chrome扩展这种方式。 Nyoogle - 谷歌,Lite书签和Stickies的自定义徽标 - Chrome的便利贴显示了类似的策略,技术和程序(TTP),并具有相同的命令和控制(C C)。

还使用不同的代码注入途径观察Stickies扩展,但注入的JavaScript代码几乎与其他恶意扩展相同。看来该扩展程序有恶意行为的历史,因为在2017年初观察到使用新的代码注入技术翼更新。

“第三方Google扩展的固有信任以及用户对这些扩展的控制风险,使得广泛的欺诈活动获得成功。在一个复杂的威胁演员的手中,同样的工具和技术可以使滩头阵地进入目标网络,“ICEBRG指出。

考虑到这些恶意Chrome扩展程序的总安装用户群,其背后的恶意行为者拥有大量资源可用于获取经济利益。谷歌,荷兰国家网络安全中心(NCSC-NL),美国计算机应急准备小组(US-CERT)以及直接受影响的客户都已收到有关该问题的警报。

相关:被劫持的扩展使470万Chrome用户面临风险

相关:未修补的漏洞影响流行的浏览器扩展系统

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01