小心惡意 Chrome 擴充功能:Reason Labs 的見解
在一項重大網路安全發現中,Reason Labs的研究人員發現了三個惡意 Chrome 網路擴充功能的存在,這些擴充功能的安裝量總計約為 150 萬次。這些擴充功能最初偽裝成可靠的 VPN 服務,透過 torrent 下載滲透到使用者的瀏覽器中。
惡意擴充的傳播方式
這些擴展的陰險傳播主要是透過廣泛流行的視頻遊戲的 torrent 檔案進行的。 Reason Labs 重點介紹了《俠盜獵車手》、《模擬市民 4》、《魔法門之英雄無敵 III》和《刺客信條》等特定遊戲,據報道,所有這些遊戲都被用來引誘不知情的用戶。令人驚訝的是,該木馬安裝程式嵌入了 1,000 多個不同的 torrent 檔案中,聲稱可以提供高級遊戲的存取權限。
安裝人員特徵
- **檔案大小**:這些可疑的安裝檔案範圍從 60 MB 到 100 MB。
- **簽署者資訊**:簽署者名稱「Spice & Wok Limited」的頻繁使用表明安裝者正試圖使安裝者合法化,儘管也使用了其他名稱。
- **自動安裝**:執行後,安裝程式會以靜默方式將惡意擴充功能之一部署到使用者的瀏覽器,無需任何互動。
秘密安裝過程會操縱位於 的 Windows 登錄項SOFTWARE\Google\Chrome\PreferenceMACs\Default\extensions.settings\,使其完全繞過使用者。然而,這種策略並不新鮮。早在 2014 年就發現了類似的方法。
對使用者和設備的影響
研究人員稱,安裝後,用戶無意中採用了兩種不同的擴充功能:用於 Chrome 的 netSave 和用於 Microsoft Edge 的 netPlus,僅惡意 Chrome 擴充功能就實現了超過 100 萬次安裝。與這些擴充功能相關的 JavaScript 程式碼(跨越 20,000 行)使分析工作變得複雜,而惡意擴充功能則偽裝成 VPN 並部署專家所說的現金返還活動駭客攻擊。
揭露真實意圖
- **停用競爭對手擴充功能**:安裝的擴充功能會停用瀏覽器中已有的其他合法的現金回饋相關擴充功能。
- **假冒VPN介面**:向使用者呈現假冒的VPN使用者介面,隱藏其不可告人的目的。
- **目標族群**:該惡意軟體似乎迎合講俄語的個人,主要影響俄羅斯、烏克蘭和哈薩克的使用者。
針對瀏覽器使用者的安全建議
針對這些令人震驚的發現,Reason Labs 立即通知了 Google,導致惡意擴充功能迅速從 Chrome Web Store 中刪除。但是,我們敦促 Chrome 和 Edge 用戶積極檢查其已安裝的擴充功能列表,以確保這些有害的附加元件不會存在於其裝置上。
需要考慮的基本預防措施
- **利用合法來源**:僅從經過驗證的合法來源下載擴充功能、遊戲和程式。
- **定期防毒更新**:維護最新的防毒程式以防範威脅。
- **連結注意事項**:不要點擊不熟悉的連結或彈出廣告。
- **實施雙重認證**:盡可能透過跨帳戶的雙重認證來增強安全性。
對於有興趣深入研究的人,可以在Reason Labs網站上存取有關這項研究的技術詳細資訊。
輪到你了:你對你使用的瀏覽器擴充功能持謹慎態度嗎?
額外的見解
1. 如何判斷擴充是否是惡意的?
尋找使用者數量少、評價差或缺乏明確的開發者資訊的擴展。如果擴充功能請求過多的權限,而這些權限對於其功能來說似乎是不必要的,請務必小心。
2. 如果我懷疑安裝了惡意擴充程序,我該怎麼辦?
如果您認為自己安裝了惡意擴充程序,請立即將其從瀏覽器設定中刪除。此外,執行全面的防毒掃描以確保您的裝置上不存在進一步的威脅。
3. 有安全的方法從種子下載軟體嗎?
雖然從種子下載存在固有風險,但使用信譽良好的種子網站並確保對所有下載的檔案進行惡意軟體掃描可以減輕一些危險。始終優先從公認的來源下載。
發佈留言