概述
Chrome Extensions是一种强大的方法,可以将功能添加到Chrome浏览器,其中功能范围从社交媒体更容易发布到集成的开发人员工具。在7月底和8月初开始,在作者的Google帐户凭据被盗之后,几个铬延长受到损害网络钓鱼方案。这导致劫持交通并将用户暴露给潜在的恶意弹出窗口和凭证盗窃。
我们专门检查了“Web开发人员0.4.9”的延伸妥协,但发现了“Chrometana 1.1.3”,“无限新标签3.12.3”[8] [10],“抄本2.8.5”[9],“Web Paint 1.2.1”[11]和“社交器20.1.1”[12]通过相同的演员使用相同的Modus Operand来修改[12]。我们认为Chrome扩展触控程序和Betternet VPN在6月底之前也以相同的方式受到损害。
分析
8月12日Chris Pederick报道了[1]他的延伸,Chrome的Web Developer,已受到损害(图1)。
图1:克里斯Pederick于2017年8月2日的推文关于他的Web开发人员的折衷程序,用于Chrome Extension
我们检索了受妥协的版本和隔离注入的代码。
图2:Web Developer 0.4.9在合法扩展遭到损害后由一个糟糕的演员发布的Chrome扩展
图3:来自Web Developer的受损版本的Content.js中插入代码的片段0.4.9
一般而言,受损的延伸首先检查,以确保使用以下代码行安装了10分钟的Chrome扩展:
if((date.now() - 安装)> 10 * 60 * 1000)
在继续执行其余的扩展代码之前,将扩展的分组损失检索远程文件Ga.js,从域通过域生成算法(DGA)生成的服务器上的HTTPS:
var日期=新日期();
var day = date.getutcdate();
var月= date.getutcmonth()+ 1;
var年= date.getutcfuelyear();
var hour = date.getutchours();
var d = day +' - '+月+' - '+年;
var hash =“wd”+ md5(d)+“.win”;
例如,在8月2日,网络请求是:
https:// wd7bdb20e4d622f6569f3e8503138c859d [。] win / ga.js。
那时,该文件由CloudFlare提供服务。
之后的一天,网络请求是:
https:// wd8a2b7d68f1c7c7f34381dc1a198465b4 [。] win / ga.js
图4:步骤1使用受害者的浏览器使用受损扩展名调用的步骤1,从2017年8月3日检索到
图5:未在下一页后Ga.js中包含的阵列;请注意,当我们通知他们的恶意活动时,CloudFlare立即删除了域名
来自此第一步的代码允许威胁参与者根据有条件地调用其他脚本,包括一些脚本来收获CloudFlare凭据:
图6:条件称为步骤2脚本,允许演员在受害者登录后抓取和剥离CloudFlare凭证
在步骤2,可以调用其他几个脚本(图7):
图7:注入的GA.JS生成的一些呼叫
如图8所示,扩展的受损版本尝试替代受害者的浏览器上的广告,从合法的广告网络中劫持流量。
图8:触发替换尝试的字符串样本(从973820_bnx.js?rev = 133)
虽然攻击者在广泛的网站上取代广告,但它们致力于大部分精力,以便在成人网站上仔细制作替换(图9)。
图9:代码片段展示了在成人网站上正确替换广告的广泛努力;从2017年8月3日从973820_bnx.js检索?rev = 133
图10显示了用于广告替换的几个额外触发器,再次在成人网站和特定的广告网络上:
图10:其他替换触发器(695529_bnx.js?rev = 144)
广告替换为特定的33种常见横幅尺寸工作,包括468x60,728x90和许多跨越许多纵横比(图11)。
图11:基于2017年8月3日ROM 973820_bnx.js检索到的版本的受损扩展程序处理的横幅格式?Rev = 133
广告呼叫本身指定替换横幅格式。例如,一个特定的广告呼叫读取:
B.Partner-Net [。]男/代码/ X / B /?PID = 973820&ADU = 0&S = 468x60
在许多情况下,受害者呈现出虚假的JavaScript警报,提示他们“修复”他们的PC然后将其重定向到会员计划,威胁演员可以利润。图12显示了一个恶意链,使用户从虚假警报到联盟网站;我们观察到受损的延期将受害者指向两个这样的附属公司,尽管也可能已被使用。
图12:从假的JavaScript警报中链接到会员计划
生成虚假警报页面的代码如图13所示:
图13:代码生成假javascript警报
图14:接收劫持交通的联盟计划之一
图15:另一个接受劫持交通的联盟计划。
COLUP警报也与“无限新标签”妥协中报告。涉及的涉及的代码在Inderved扩展[5]几乎相同,但DGA略有不同:
var day = date.getdate();
var月= date.getmonth()+ 1;
var年= date.getfulle();
var d =月+'/'+年;
var tds_url ='http://'+ md5(d)+'.pro / tds.php?subid = ce';
在一些假欧盟cookie的警报[6]中还报告了同样的恶意活动[6](图16)。涉及这些情况的服务器,浏览器 - 更新[。]信息,与“Infinity新选项卡”案例中使用的服务器相同,并且很可能是与Redirect2 [。]顶部和加载相同的后端的旧前端[。。]网站。虽然这些细节超出了本博客的范围,但值得注意的是,检查这些活动允许我们追溯到2016年7月7日的@ Bartblaze的帖子[7]:
图16:此组目前使用的服务器之一发布已被困的cookie-consent javascript脚本
图17-19显示,此活动能够生成大量流量:
图17:浏览器的Alexa报告 - 更新[。]信息
图18:SearchTab的类似策略报告[。]赢
图19:伙伴 - 网络的Alexa报告[。]男性
网络钓鱼
Phishme的同事已经审查了最新的凭据网络钓鱼,最初允许演员损害延伸[3];Web开发人员扩展案例几乎相同:
图20:用于收集扩展编码器凭据的电子邮件的屏幕截图
结论
威胁演员继续寻找推动流量的新方法,以便将流量进行联盟计划[13],并有效地对用户进行恶意广告。在这里描述的情况下,它们利用受到劫持交通和替代受害者浏览器的广告的受损的铬延伸。一旦通过电子邮件网络钓鱼活动获取开发人员凭据,他们可以发布恶意版本的合法扩展。除了劫持交通和驾驶用户来解决的联盟计划外,我们还观察到它们收集和抵抗CloudFlare凭证,为演员提供了新的潜在未来攻击的手段。
致谢
我们要感谢CloudFlare在使用其托管服务通知恶意活动时立即采取行动。
我们还要感谢Chris Pederick(Web开发人员扩展的作者),用于与网络钓鱼的分享数据以及他和曲目本作者如何透明地处理事件。
参考
[1]https://twitter.com/chrispederick/status/892768218162487300.
[2]http://chrispederick.com/blog/web-developer-for-chrome-compromised/
[3]https://phishme.com/even-smart-ones-fall-phishing//
[4]https://www.centbrowser.com/forum/printthread.php?tid=1394&page=2
[5]https://pastebin.com/phf7ehrg.
[6]http://divbits.com/joomla-hacked-pop-message/
[7]https://bartblaze.blogspot.co.uk/2016/07/eu-cookie-law-and-fake-chrome-extensions.html.
[8]http://infinitynewtab.com/notice.html.
[9]https://a9t9.com/blog/chrome-extension-adware/
[10]https://pastebin.com/phf7ehrg.
[11]https://gist.github.com/felixwolf/0666fd5ca2672f15089e7712827140bd9.
[12]https://www.facebook.com/socialfixer/posts/10155117415829342
妥协指标
IOC. |
评论 |
Click.rdr11 [。]顶部| 31.186.103.146 |
用于网络钓鱼副鱼的服务器免费扩展 - 2017-07-28 |
ChromedEvelopment [。]网站| 31.186.103.147 |
用于从扩展开发人员的网络钓鱼Google帐户的服务器 - 2017-08 |
login.chromeextensions []信息| 31.186.103.149 |
用于网络从扩展开发人员网络钓鱼的服务器 |
ChromeeXtensions [。]信息| 31.186.103.149 |
用于网络从扩展开发人员网络钓鱼的服务器 |
WD8A2B7D68F1C7C7F34381DC1A198465B4 [。] WIN | 104.131.30.88 |
注射服务器(GA.JS) - 2017-08-03 |
WD7BDB20E4D622F6569F3E8503138C859D [。] WIN | 104.131.30.88 |
注射服务器(GA.JS) - 2017-08-02 |
装载[。]网站| 162.255.119.12 |
用于JS Alert于2017年8月的服务器 |
SearchTab [。] Win | 104.131.67.58 |
用于信誉的服务器exfiltration |
Redirect2 [。]顶部| 104.131.67.58 |
用于信誉的服务器exfiltration |
浏览器 - 更新[。]信息| 198.54.117.212 |
2017年5月(伪造欧盟Cookie同意和Chromformana和Infinity新选项卡泄露)的服务器用于JS Alert和Creds Exfiltration) |
浏览器 - 更新[。] info / firebase_subscribe.js |
JS用于抵消Firebase凭证。类似的JS被直接注射在ChromforaNa中 |
Imagetwist [。]信息| 174.138.62.139 |
用于信誉的服务器(来自Imagetwist)exfiltration |
https:// wd7bdb20e4d622f6569f3e8503138c859d [。] win / ga.js |
JS由Content - WD + MD5(2-8-2017).win |
http:// searchtab [。] win / ga.js |
JS有条件地装载为第2步 |
http:// redirect2 [。] top / ga.js |
JS有条件地装载为第2步 |
http:// partner-net [。]男/代码/ pid / linkcheck.js?rev = 133 |
JS有条件地装载为第三步 |
https://f.partnerwork [。]男/代码/代码/ index_4.php |
PHP有条件地装载为第3步 |
https://f.partnerwork [。]男/代码/代码/ mss_3.js |
第四步 |
https://y.partnerwork [。]男/代码/代码/ index_3.php |
第五步 |
http:// partner-net [。]男/代码/ pid / 973820_bnx.js?rev = 133 |
JS称为第2步执行大多数广告注射/替换 |
http:// parts-net [。]男/代码/?pid = 973820&r = |
JS条件称为第2步 |
login.chromedevelopment [。]网站| 31.186.103.147 |
用于从扩展开发人员的网络钓鱼Google帐户的服务器 - 2017-08 |
Y.PartnerWork [。]男士| 185.147.15.35 |
用于ADS插入的服务器 |
F.PartnerWork [。]男士| 185.147.15.37 |
用于ADS插入的服务器 |
F.PartnerWork [。]男士| 185.147.15.37 |
用于ADS插入的服务器 |
合作伙伴 - 净[。]男士| 95.211.68.187 |
用于ADS插入的服务器 |
伙伴 - 净[。]男士| 95.211.68.186 |
用于ADS插入的服务器 |
B.Partner-net [。]男人| |
用于ADS插入的服务器 |
HTTP:[。] //land.pckeeper软件/土地/ 7.13.222 / index.php的affid = mzb_251.563088.1501708560.18.mzb&utm_source = prfl&utm_medium =厘泊&utm_campaign = pck_prfl_cps_ww_713&utm_term =&的utm_content =&userDefiner = mzb_2424&TRT = 33_1641011700&tid_ext = 1451151054 |
PCKEPPER联盟计划URI涉及链条 |
HTTP:[。] //land.pckeeper软件/土地/ 7.13.222 / index.php的affid = mzb_281.2294418.1495859377.18.mzb&utm_source = MAXB&utm_medium =厘泊&utm_campaign = pck_maxb_cps_eu2_713&utm_term =&的utm_content =&userDefiner = mzb_2424&TRT = 33_1638077&tid_ext = pck_maxb_cps_us_eu2_sale |
PCKEPPER联盟计划URI涉及链条 |
http://wlp.cleanmypc [。]在线/ mxbt1 /?x-context = 496906380&utm_source = mxapcfx5&utm_campaign = mxapcfx5&pxl = mxa2240_mxa2193_runt&utm_pubid = 56754&x-at = xxxxx和override = 1 |
CleanMypc联盟计划URI参与链条 |
cookie-policy [。] org | 45.55.128.61 |
eu-cookie脚本服务器 |
CDN2 [。]信息| 45.55.128.61 |
eu-cookie脚本服务器 |
CDN8 [。]信息| 45.55.128.61 |
eu-cookie脚本服务器 |
CDN.Cookiescript [。]信息| 52.222.226.223 |
用于eu-cookie的服务器2017-07 |
cdn.front [。]到| 162.243.105.107 |
用于eu-cookie 2016-06 - 302到CDN.Cookiescript的服务器[.info 2017-08-02 |
UA-103045553-1 |
Google Analytics UA用于注入受损扩展的脚本 |
283599517713 |
Firebase MessagingsienderIdend在脚本中收集凭据 |
ganalytics [。]赢得胜利| 104.131.30.88 |
使用注入的ga.js的旧领域 |
92FFFE0BA52DA491A2B7576627F3693A [。] Pro |
在5月中使用的域在Infinity新标签elcomission - MD5(5/2017)中 |
7CE508E6099E31F68C2FD50C362F087D [。] Pro |
在5月中使用的域在Infinity新标签折衷中 - MD5(6/2017) |
合作伙伴打印[。]男士| 185.147.15.39 |
用于ADS插入的服务器 |
extstat [。] com | 185.147.15.39 |
用于ADS插入的服务器 |
订阅校对点博客