ReasonLabs 的专家发现了 Google Chrome 浏览器的三个恶意扩展程序,它们伪装成虚拟专用网络 (VPN) 服务。这些程序用于劫持会话、破解现金返还系统和窃取数据,从官方商店下载了超过 150 万次。
恶意扩展程序通过隐藏在流行视频游戏盗版版本中的安装程序进行分发,例如《侠盗猎车手》、《刺客信条》和《模拟人生 4》。受害者通过 torrent 网站下载游戏,这增加了感染的风险。
谷歌在收到研究人员的信息后,采取了行动,从 Chrome 网上应用店中删除了这些程序。受感染的扩展程序包括 netPlus(100 万次安装)、netSave 和 netWin(50 万次安装)。
大多数感染病例发生在俄罗斯、乌克兰、哈萨克斯坦和白俄罗斯。该活动似乎最初是针对俄语用户的。
扩展是自动安装的,没有任何注册表级别的通知。安装后,该程序会检查设备上是否有防病毒软件,然后在 Google Chrome 中下载 netSave,在 Microsoft Edge 中下载 netPlus。
从外部来看,这些扩展模仿了合法 VPN 服务的真实界面,甚至提供付费订阅。
该恶意软件的关键特征之一是使用“屏幕外”权限。它使攻击者能够通过 Offscreen API 秘密地与网页的 DOM(文档对象模型)进行交互。这使得黑客能够悄悄窃取敏感数据、操纵网络请求,甚至禁用浏览器中安装的其他工具。
恶意软件目标列表包括 Avast SafePrice、AVG SafePrice、Honey:自动优惠券和奖励、LetyShops、Megabonus、AliRadar Shopping Assistant、Yandex.Market Adviser、ChinaHelper 和 Backlit 等知名应用程序。
这些扩展还与命令和控制服务器进行通信,传输指令、受害者识别、敏感信息等。
这一事件引起了专家们对与网络浏览器扩展相关的严重安全问题的关注。其中许多程序都经过精心伪装,使它们更难以被发现。建议用户定期监控 Chrome 网上应用店上的评论,以了解任何可疑或恶意活动的报告。
转自安全客,原文链接:https://www.anquanke.com/post/id/292166
封面来源于网络,如有侵权请联系删除