记录一次分析Chrome恶意插件的简单经过

事件起因

在网上搜索资料的时候,遇到一个奇怪的网页,它试图强迫我下载一些可疑的浏览器扩展。

该网页自动以全屏模式显示,这真的很别扭。

上面的界面显示的是法语。一旦安装,它会在http://opurie[.]com/thank.php?pubid=&clickid=randomdata=&country=FR&n=w2 页面上显示一个伪造的致谢消息。

显然,这是一个被感染的WordPress网站,它使用了一些黑帽SEO技术,在Google搜索引擎获得了排名靠前的结果,页面上内容大多是从Twitter上粘贴的。

在Windows系统上的C:\Users\<Your_User_Name>\AppData\Local\Google\Chrome\User Data\Default\Extensions\. 目录下,可以找到插件的源代码(只是一些HTML和JS脚本)。数据的默认扩展名。文件夹名称是安装的插件的IDs,图上所示的 名为“Opurie”的插件的ID是:mcgibaolmjnmcmfofkfbacdmnejmdomn。

源码分析

Chrome插件使用manifest.json文件描述应用程序的权限。让我们看看这里面有什么:

上图可知,这个插件申请了很多权限!根据Chrome开发者文档,该插件拥有的功能包括:使用API来观察和分析通信流量;拦截、阻塞或修改in-flight的请求;查询和修改所有站点的cookies(http://*/* & https://*/*)。我很奇怪为什么通配符的权限可以不经过手动审查批准而自动执行。本文暂时不讨论这个话题。总而言之,该插件会加载一个名为background.js的JavaScript文件,代码经过了模糊/压缩处理。

还原之后,你会看到它的结构

插件的恶意动作

那么这个插件的邪恶之处在哪里呢?

分析发现它将拦截所有来自Google或Bing的搜索,随着你提供的关键词(明文的)将搜索结果重定向到startupfraction[.]com。我猜想攻击者这样做的目的是为了获得更多的流量,根据你的关键字进行重定向,可能为您提供更多的广告。

在Gooogle上搜索“this is a test”,观察HTTP流量如下图所示:

第一个请求

第二个请求

我是今天早上偶然发现了这个恶意的扩展,还没有机会深入研究它。在这里把它的相关信息分享出来,希望可以挖掘出更多的欺诈行为。

IOC

第一阶段

www.employmentskillscenter[.]org/84d5/hareov.php
www.facioconsulting[.]in/c5c7/hareov.php
www.parkwestceramics[.]com/624082/hareov.php

恶意插件的位置

https://chrome.google[.]com/webstore/detail/opurie/mcgibaolmjnmcmfofkfbacdmnejmdomn

欺诈网站


startupfraction[.]com
search.feedvertizus[.]com
go.querymo[.]com
opurie[.]com

原创文章,作者:猫小编,如若转载,请注明出处:http://www.mottoin.com/105941.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code