500个Chrome扩展程序秘密上传了数

扩展是一个长期存在的广告欺诈和恶意广告网络的一部分

研究人员周四表示，超过个浏览器扩展程序从谷歌Chrome网络商店下载了数百万次，偷偷上传私人浏览数据到攻击者控制的服务器。

这些扩展是独立研究员贾米拉·卡亚发现的长期恶意广告和广告欺诈计划的一部分。她和来自思科旗下DuoSecurity的研究人员最终确定了71个Chrome网络商店扩展，安装数量超过万个。在研究人员私下向谷歌报告了他们的发现之后，谷歌又发现了多个扩展。谷歌已经移除了所有已知的扩展。

Kaya和DuoSecurityJacobRickerd在一份报告中写道:“在本文报道的这个案例中，Chrome扩展程序的开发者专门开发了一些扩展程序，模糊了用户的底层广告功能。”。“这样做是为了将浏览器客户端连接到命令和控制架构，在用户不知情的情况下窃取私人浏览数据，通过广告流将用户暴露在被利用的风险之下，并试图规避Chrome网络商店的欺诈检测机制。”

重定向、恶意软件等等的迷宫

扩展主要是作为提供各种促销和广告作为一种服务的工具提出的。事实上，他们通过将受感染的浏览器移动到一个个粗略的域名迷宫中，从事广告欺诈和恶意广告。每个插件首先连接到与插件同名的域(例如:mastrek[..])Com或ArcadeYum[..]Com)检查是否卸载自己的指令。

这些插件随后将浏览器重定向到少数硬编码控制服务器中的一个，以接收额外的指令、上传数据的位置、广告提要列表以及将来重定向的域。受感染的浏览器然后上传用户数据，更新插件配置，并通过网站重定向流。

周四的报告继续写道:

用户定期收到新的重定向器域，因为它们是批量创建的，同一天和同一时间创建了多个早期域。它们都以同样的方式运作，接收主持人的信号，然后将它们发送到一系列广告流中，最后发送到合法的和不合法的广告中。其中一些已在IOCs的“Enddomains”部分列出，不过数量太多，无法列出。

许多重新定位导致了梅西百货、戴尔和百思买产品的良性广告。使该计划具有恶意和欺诈性的是:(a)大量的广告内容(在某些情况下多达30个重定向)，(b)故意隐瞒最终用户的大多数广告，以及(c)利用广告重定向流向受感染的浏览器发送恶意软件和钓鱼网站。与插件站点相关的两个恶意软件样本是:

从本地浏览器读取终端服务相关键和访问潜在的敏感信息，以及它有能力打开剪贴板

除了一个网站之外，其他网站都没有被威胁情报机构归类为恶意或欺诈网站。唯一的例外是美国密苏里州交易委员会，其上市公司是DTSINCE[.]Com，少数几个硬编码控制服务器之一，作为一个钓鱼网站。

研究人员发现，有证据表明，该运动至少从年1月开始运作，并且发展迅速，尤其是从3月到6月。这些运营商可能会活跃很长一段时间，最早可能在年。

尽管这个插件看起来各不相同，但是它们都包含几乎相同的源代码，只有函数名是唯一的。在一个评估Chrome扩展安全性的工具CRXcavator的帮助下，Kaya发现了这些恶意插件。它是由DuoSecurity开发的，去年免费提供。几乎所有的插件都没有用户评级，这使得研究人员无法确切知道这些插件是如何安装的。谷歌感谢研究人员报告了他们的发现。

小心扩展

这个最新的发现是在另一个独立研究人员记录浏览器扩展后的七个月，这些扩展提取了超过万台受感染机器的浏览记录。虽然绝大多数安装影响了Chrome用户，但也有一些Firefox用户被扫地出门。纳科分析公司，聚合数据并公开出售它，关闭后，该行动的Ars覆盖面。

周四的报告列出了71个恶意扩展及其相关域名。经过长期的调查，谷歌没有发现任何在自己调查中发现的扩展或域名。使用其中一个插件的计算机会收到一个弹出式通知，说它已被“自动禁用”点击链接的人会得到一个红色警告，上面写着:“这个扩展包含恶意软件。”

更多恶意和欺诈性的浏览器扩展的发现提醒人们在安装这些工具时应该小心谨慎，只有当它们提供真正的好处时才使用它们。阅读用户评论来检查可疑行为的报告总是一个好主意。人们应该定期检查他们不认识的或者最近没有使用的扩展，然后删除它们。