警惕恶意 Chrome 扩展程序:Reason Labs 的见解
在一项重大的网络安全发现中,Reason Labs的研究人员发现了三个恶意的 Chrome 网络扩展程序,这些扩展程序总共安装了约 150 万次。这些扩展程序最初伪装成可靠的 VPN 服务,通过 torrent 下载渗透到用户的浏览器中。
恶意扩展的分发方法
这些扩展程序的传播主要通过广受欢迎的视频游戏的种子文件进行。Reason Labs 重点介绍了一些特定游戏,例如《侠盗猎车手》、《模拟人生 4》、《魔法门之英雄无敌 3》和《刺客信条》,据报道,所有这些游戏都被用来引诱不知情的用户。令人惊讶的是,该木马安装程序嵌入了 1,000 多个不同的种子文件中,声称这些文件可以访问高级游戏。
安装程序特性
- **文件大小**:这些可疑的安装文件大小从 60 MB 到 100 MB 不等。
- **签名人信息**:签名人名称“Spice & Wok Limited”的频繁使用表明了联合努力使安装人员合法化,尽管也使用了其他名称。
- **自动安装**:执行后,安装程序会悄悄地将其中一个恶意扩展程序部署到用户的浏览器中,无需任何交互。
隐秘的安装过程会操纵位于 的 Windows 注册表项SOFTWARE\Google\Chrome\PreferenceMACs\Default\extensions.settings\,从而完全绕过用户。然而,这种策略并不新鲜;早在 2014 年就发现了类似的方法。
对用户和设备的影响
安装后,用户不知不觉地使用了两个不同的扩展程序:Chrome 的 netSave 和 Microsoft Edge 的 netPlus,研究人员称,仅恶意的 Chrome 扩展程序就已安装超过 100 万次。与这些扩展程序相关的 JavaScript 代码(超过 20,000 行)使分析工作变得复杂,而恶意扩展程序伪装成 VPN 并部署了专家所称的现金返还活动黑客。
揭露真实意图
- **禁用竞争对手的扩展**:安装的扩展将禁用浏览器中已有的其他合法现金返还相关扩展。
- **假冒VPN界面**:向用户呈现伪造的VPN用户界面,掩盖其不可告人的目的。
- **目标人口**:该恶意软件似乎针对俄语人群,主要影响俄罗斯、乌克兰和哈萨克斯坦的用户。
针对浏览器用户的安全建议
针对这些令人震惊的发现,Reason Labs 立即通知了 Google,并迅速从 Chrome 网上应用店中删除了这些恶意扩展程序。不过,我们敦促 Chrome 和 Edge 用户积极检查已安装的扩展程序列表,以确保他们的设备上不存在这些有害的附加组件。
需要考虑的基本预防措施
- **利用合法来源**:仅从经过验证的合法来源下载扩展、游戏和程序。
- **定期防病毒更新**:维护最新的防病毒程序以防范威胁。
- **谨慎使用链接**:不要点击不熟悉的链接或弹出式广告。
- **实施双因素身份验证**:尽可能使用跨账户的双因素身份验证来加强安全性。
对于那些有兴趣深入了解的人,可以在Reason Labs网站上查阅有关这项研究的技术细节。
轮到你了:你对所使用的浏览器扩展是否谨慎?
更多见解
1. 如何辨别扩展程序是否是恶意的?
寻找那些用户数量少、评价差或缺乏明确开发者信息的扩展程序。如果扩展程序请求过多的权限,而这些权限似乎对其功能来说没有必要,那么就要小心了。
2. 如果我怀疑安装了恶意扩展程序该怎么办?
如果您认为自己安装了恶意扩展程序,请立即将其从浏览器设置中删除。此外,请运行完整的防病毒扫描,以确保您的设备上不再存在其他威胁。
3. 有没有安全的方法从 torrent 下载软件?
虽然从种子下载存在固有风险,但使用信誉良好的种子网站并确保所有下载的文件都经过恶意软件扫描可以减轻一些危险。始终优先从公认的来源下载。
发表回复