如果你在 Chrome 浏览器中安装了如下提到的任意一款广告拦截器扩展,那么说明你可能被黑了。

一名安全研究员从谷歌 Chrome 商店中找到了5款恶意的广告拦截器扩展,至少被200万名用户安装。

遗憾的是,这些恶意浏览器扩展并非新面孔。它们常常拥有访问用户网络活动的权限,而且允许其创建人员窃取受害者输入任何网站的任意信息,包括密码、浏览历史和信用卡详情等。

Adguard 公司的联合创始人 Andrey Meshkov 发现了这些恶意扩展,他指出这些扩展是某些合法的广为人知的广告拦截器的山寨版。这些扩展的创建人员也会在扩展名称中使用流行的关键字和说明,目的是在搜索结果中获得靠前的排名,从而增加用户的下载意愿。Meshkov 指出,这些扩展基本上是只有几行代码并添加了几行分析代码的赝品。

本周二,Meshkov 将研究成果告知谷歌,后者立即从 Chrome 商店中删除了以下提到的恶意广告拦截器扩展:

  • AdRemover for Google Chrome™ (1000万+ 用户)

  • uBlock Plus (800万+ 用户)

  • [假冒的] Adblock Pro (200万+ 用户)

  • HD for YouTube™ (400,000+ 用户)

  • Webutation (30,000+ 用户)

Meshkov 下载了 “AdRemover” 扩展,经分析后发现恶意代码隐藏在 jQuery 的修改版本中,将用户访问过的某个网站的信息发送回远程服务器。随后这款恶意扩展会从远程服务器接受命令,并在扩展的“后台页面”执行,可任意更改浏览器的行为。为避免被检测到,由远程服务器发送的这些命令会被隐藏在看似无害的图像中。Meshkov 指出,实际上它相当于由受虚假 Adblock 扩展感染的浏览器组成的僵尸网络。浏览器会按照命令中心服务器所有人所发出的一切命令行事。

Meshkov 还分析了 Chrome 商店中的其它扩展并使用类似技术找到了其它四个扩展。

由于浏览器扩展具有访问用户所访问的所有网页的权限,因此它能够为所欲为。因此建议用户尽量少安装扩展,而且仅从受信任公司安装。

本文由360代码卫士翻译自TheHackerNews

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。