记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

记录一次分析Chrome恶意插件的简单经过

2017-09-20 19:30

事件起因

在网上搜索资料的时候,遇到一个奇怪的网页,它试图强迫我下载一些可疑的浏览器扩展。

该网页自动以全屏模式显示,这真的很别扭。

上面的界面显示的是法语。一旦安装,它会在http://opurie[.]com/thank.php?pubid=&clickid=randomdata=&country=FR&n=w2 页面上显示一个伪造的致谢消息。

显然,这是一个被感染的WordPress网站,它使用了一些黑帽SEO技术,在Google搜索引擎获得了排名靠前的结果,页面上内容大多是从Twitter上粘贴的。

在Windows系统上的C:\Users\<Your_User_Name>\AppData\Local\Google\Chrome\User Data\Default\Extensions\. 目录下,可以找到插件的源代码(只是一些HTML和JS脚本)。数据的默认扩展名。文件夹名称是安装的插件的IDs,图上所示的 名为“Opurie”的插件的ID是:mcgibaolmjnmcmfofkfbacdmnejmdomn。

源码分析

Chrome插件使用manifest.json文件描述应用程序的权限。让我们看看这里面有什么:

上图可知,这个插件申请了很多权限!根据Chrome开发者文档,该插件拥有的功能包括:使用API来观察和分析通信流量;拦截、阻塞或修改in-flight的请求;查询和修改所有站点的cookies(http://*/* & https://*/*)。我很奇怪为什么通配符的权限可以不经过手动审查批准而自动执行。本文暂时不讨论这个话题。总而言之,该插件会加载一个名为background.js的JavaScript文件,代码经过了模糊/压缩处理。

还原之后,你会看到它的结构

插件的恶意动作

那么这个插件的邪恶之处在哪里呢?

分析发现它将拦截所有来自Google或Bing的搜索,随着你提供的关键词(明文的)将搜索结果重定向到startupfraction[.]com。我猜想攻击者这样做的目的是为了获得更多的流量,根据你的关键字进行重定向,可能为您提供更多的广告。

在Gooogle上搜索“this is a test”,观察HTTP流量如下图所示:

第一个请求

第二个请求

我是今天早上偶然发现了这个恶意的扩展,还没有机会深入研究它。在这里把它的相关信息分享出来,希望可以挖掘出更多的欺诈行为。

IOC

第一阶段

www.employmentskillscenter[.]org/84d5/hareov.php
www.facioconsulting[.]in/c5c7/hareov.php
www.parkwestceramics[.]com/624082/hareov.php

恶意插件的位置

https://chrome.google[.]com/webstore/detail/opurie/mcgibaolmjnmcmfofkfbacdmnejmdomn

欺诈网站


startupfraction[.]com
search.feedvertizus[.]com
go.querymo[.]com
opurie[.]com

知识来源: www.mottoin.com/105941.html

阅读:78092 | 评论:0 | 标签:代码审计 恶意插件 浏览器安全

想收藏或者和大家分享这篇好文章→复制链接地址

“记录一次分析Chrome恶意插件的简单经过”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云