记录一次分析Chrome恶意插件的简单经过

关注 2017-09-21 09:48:41 查看数 37721 ,评论数 0 代码审计

事件起因

在网上搜索资料的时候,遇到一个奇怪的网页,它试图强迫我下载一些可疑的浏览器扩展。 该网页自动以全屏模式显示,这真的很别扭。 上面的界面显示的是法语。一旦安装,它会在http://opurie[.]com/thank.php?pubid=&clickid=randomdata=&country=FR&n=w2 页面上显示一个伪造的致谢消息。 显然,这是一个被感染的WordPress网站,它使用了一些黑帽SEO技术,在Google搜索引擎获得了排名靠前的结果,页面上内容大多是从Twitter上粘贴的。 在Windows系统上的C:\Users\<Your_User_Name>\AppData\Local\Google\Chrome\User Data\Default\Extensions\. 目录下,可以找到插件的源代码(只是一些HTML和JS脚本)。数据的默认扩展名。文件夹名称是安装的插件的IDs,图上所示的 名为“Opurie”的插件的ID是:mcgibaolmjnmcmfofkfbacdmnejmdomn。

源码分析

Chrome插件使用manifest.json文件描述应用程序的权限。让我们看看这里面有什么: 上图可知,这个插件申请了很多权限!根据Chrome开发者文档,该插件拥有的功能包括:使用API来观察和分析通信流量;拦截、阻塞或修改in-flight的请求;查询和修改所有站点的cookies(http://*/* & https://*/*)。我很奇怪为什么通配符的权限可以不经过手动审查批准而自动执行。本文暂时不讨论这个话题。总而言之,该插件会加载一个名为background.js的JavaScript文件,代码经过了模糊/压缩处理。 还原之后,你会看到它的结构

插件的恶意动作

那么这个插件的邪恶之处在哪里呢? 分析发现它将拦截所有来自Google或Bing的搜索,随着你提供的关键词(明文的)将搜索结果重定向到startupfraction[.]com。我猜想攻击者这样做的目的是为了获得更多的流量,根据你的关键字进行重定向,可能为您提供更多的广告。 在Gooogle上搜索“this is a test",观察HTTP流量如下图所示:

第一个请求

第二个请求

我是今天早上偶然发现了这个恶意的扩展,还没有机会深入研究它。在这里把它的相关信息分享出来,希望可以挖掘出更多的欺诈行为。

IOC

第一阶段
www.employmentskillscenter[.]org/84d5/hareov.php www.facioconsulting[.]in/c5c7/hareov.php www.parkwestceramics[.]com/624082/hareov.php
恶意插件的位置
https://chrome.google[.]com/webstore/detail/opurie/mcgibaolmjnmcmfofkfbacdmnejmdomn
欺诈网站
startupfraction[.]com search.feedvertizus[.]com go.querymo[.]com opurie[.]com
交流评论(0)
Loading...
点击 ,就能发表评论哦~如果您还没有账号,请 一个吧
css.php
正在加载中...