近日,安全公司Malwarebytes的研究人员对一款恶意Chrome扩展程序进行了深入调查。
恶意软件感染用户过程
该款款恶意Chrome扩展程序可以监控用户的上网行为习惯,并自动出现弹窗,并干扰用户正常上网。同时安全公司Malwarebytes的研究人员发现该恶意程序活动将会强迫用户安装包含有恶意程序的Chrome扩展。首先恶意攻击者会先创建一个网站,不幸访问该网站的用户会收到持续不断的弹窗来推荐用户安装恶意扩展程序。如果用户选择关闭,则会继续跳出另外一个。总之就是会接二连三的出现弹窗,如果当用户将鼠标移动虚晃至浏览器或点击关闭按钮的时候就会出现更大的对话框,并会出现在顶部,而网站的后台也会播放很嘈杂的声音。
早前曾出现一款名为 eFast Browser的恶意程序,该恶意程序一反传统伪装成浏览器延伸套件植入的方式,直接化身为浏览器劫持系统档案关联,让使用者在不知不觉中落入它的圈套。
Malwarebytes 的报告曾指出,该恶意程序一旦成功安装,eFast Browser 会尝试删除 Chrome 并取而代之,并劫持相关的系统档案关联如 htm/html、pdf、jpg、webp、xht 等,以及网络传输协定如 ftp、http/https、nntp、sms、webcal 等。另外值得注意的是 eFast Browser 的开发是建基于 Chromium 开源计划,因此无论是浏览器图示、界面以及功能都与 Chrome 非常相似,看起来就像其他由 Chromium 开源计划下开发出来的正规浏览器,容易迷惑对此不熟悉的用户,让用户无法察觉 Chrome 浏览器已被取代。
目前影响范围较小
Malwarebytes的安全团队分享了该恶意扩展的演示(见下文),Chrome 浏览器将会在使用者浏览会建议安装任何恶意软件的网站前,出现如跳转后的红色警示。而用户在访问其网站之后会被强制要求安装一款名为“iClac”扩展程序,之前该扩展程序已经在Google Web Store上线。一旦安装了该扩展,并没有如名称一样具备计算器功能,但是研究人员发现iCalc会秘密的设置一个代理,从通过一个远程服务器来重定向所有的浏览器流量。
Malwarebytes已经向谷歌报告了该扩展程序,目前安装量没有超过1000个,那些不知道通过任务管理器来关闭Chrome进程的用户可能会绕进攻击者设计的陷阱中。目前谷歌已经移除了该应用程序,而该恶意程序活动的作者已经开始推送另外的恶意扩展程序,但这一次,受影响区域仅限于俄罗斯用户。