|
Chrome浏览器给我们带来了很大的方便,但是我们在享受便捷的同时,有没有想过:恶意插件正潜伏在我们的浏览器里,随时会窃取我们的个人信息…… 背景
恶意软件感染链 安全公司Radware在其客户中检测到一款零日恶意软件,它通过Facebook上的链接进行传播,并滥用Google Chrome扩展程序('Nigelify'),执行凭证窃取、加密、点击欺诈等操作来感染用户。 自2018年3月以来,该恶意软件已经在全球范围内感染了超过10万名用户。 感染过程由于最初的Nigelify使用程序将图片替换为“Nigel Thornberry”,并且导致大部分感染,Radware将其称为恶意软件“Nigelthorn”。 恶意软件将受害者重定向到一个虚假的YouTube页面,并要求用户安装Chrome扩展程序来播放视频。
伪YouTube页面 一旦用户点击“添加扩展”,恶意扩展就会被安装,机器成为僵尸网络的一部分。恶意软件基于Chrome,在Win和Linux上运行。而且,这一活动只针对Chrome浏览器,不运用Chrome的用户不会受到威胁。 绕过Google使用程序验证工具 操纵者创建了合法扩展的副本,并注入一个简短的混淆恶意脚本来启动恶意软件操作。
(左边)合法版本,(右边)恶意版本 Radware认为,这样做是为了绕过谷歌的扩展验证检查。到现在为止,研究小组已经观察到其中的7个恶意扩展,其中4个已经被Google的安全算法识别和阻止。Nigelify和PwnerLike保持活跃。
已知扩展程序 恶意软件一旦在Chrome浏览器上安装了扩展,就会执行恶意JavaScript(参见下文),从C2下载初始配置。
从C2获得的配置文件 然后将部署一组请求,每个请求都有自己的目的和触发器。以下是通讯协议。
恶意软件功能 数据盗窃该恶意软件主要用于窃取Facebook登录凭证和Instagram cookie。如果在机器上登录(或者找到Instagram cookie),它将被发送到C2。
Facebook传播生成经过身份验证的用户的Facebook访问令牌,并开始传播阶段。 恶意软件为了将恶意链接传播到用户的网络,而收集相关的帐户信息。 访问C2路径“/php3/doms.php”并返回到随机URI。 例如:
加密恶意软件下载的另一个插件是一个加密工具。攻击者正在运用公开的浏览器挖掘工具,使受感染的机器开始挖掘加密货币。 JavaScript代码是从包含组控件和矿池的外部网站下载的。Radware注意到,在过去几天里,该小组试图挖掘三种不一样的硬币(Monero, Bytecoin 和 Electroneum),这些都是基于允许通过任何处理器进行挖掘的“CryptoNight”算法。 Radware观察到的矿池:
加密 持久性该恶意软件运用多种技术来保持计算机上的持久性,并确保其在Facebook上的活动是持久的。 1.如果用户试图打开“扩展”选项卡以删除扩展,恶意软件将关闭该选项卡并阻止删除。
YouTube欺诈一旦下载并执行YouTube插件,恶意软件就会尝试访问C2上URI“/php3/youtube.php”来接收命令。检索到的指令可能是观看、喜欢或评论视频,也可以订阅页面。 Radware认为,该组织正试图从YouTube上获利,尽管还没有看到任何视频点击率很高。
C2指令的一个例子 恶意软件防护零日恶意软件往往利用复杂的规避技术,绕过技能团队研究的现有保护措施。尽管有几种安全搞定方案,Radware在一个保护良好的网络中发现的并未发现Nigelify。 Radware的机器学习算法分析了该大型组织的通信日志,关联了多个指标,并阻止了受感染机器的C2访问。 随着这种恶意软件的传播,该组织将继续寻找利用被盗资产的新方式。这些组织不断制造新的恶意软件和变异,以绕过安全控制。
妥协指标 建议尽管google已经删除了上面列出的所有扩展,但是如果你已经安装了其中的任何一个,那么建议您立即卸载它,并更改您的facebook、instagram以及其他您运用相同凭证的帐户的密码。 由于Facebook垃圾邮件活动非常普遍,所以建议用户在点击通过社交网站平台提供的链接和文件时保持警惕。 |
