浏览器扩展让我们的生活变得更方便舒适:它们隐藏了引人注目的广告、提供外文网页的翻译文本、帮助我们在网上商店中进行比价选择等等。但也有一些让人不太愉快的存在,包括那些用广告轰炸我们或收集我们活动信息的扩展。然而,与那些主要目的是盗窃的扩展相比,这些都显得微不足道。最近有一个扩展最近引起了安全人员的注意,因为它与一个可疑的域进行了通信。
该Chrome扩展名为Desbloquear Conteudo(葡萄牙语的意思是“Unblock Content”),它的目标是巴西在线银行服务的用户——我们发现的所有安装行为都发生在巴西。这种恶意扩展的目的是获取用户登录和密码,然后从他们的银行账户中窃取资金。
该组件的安装地理分布
目前,该恶意扩展已经从Chrome Web Store中删除。
Chrome Web Store中的恶意扩展
恶意扩展分析
恶意浏览器扩展通常使用不同的技术(例如混淆)来躲避安全软件的检测。然而,这个特定扩展的开发人员并没有混淆源代码,而是选择了另一种方法。这段恶意软件使用WebSocket协议进行数据通信,使得与C&C服务器实时交换消息成为可能。这意味着当受害者访问一家巴西银行的网站时,C&C开始充当代理服务器,扩展将重定向流量。本质上,这是一个中间人攻击。
Desbloquear Conteúdo扩展由两个JS脚本组成。下文将详细分析。
fundo.js
首先映入眼帘的是脚本代码函的数websocket_init()。这就是建立WebSocket连接的地方。然后从服务器下载数据(ws://exalpha2018[.]tk:2018),保存到chrome中,并存储在密钥“manualRemovalStorage”下。
通过WebSocket连接从C&C下载数据
由扩展程序下载和保存的数据
通过连接hxxp://exalpha2018[.]tk/contact-server/?modulo=get,扩展接收用户流量的IP地址将被重定向。
从C&C服务器接收的IP地址
将所有用户流量重定向到该IP:
这里值得一提的是代理自动配置技术。现代浏览器使用JavaScript编写的特殊文件,该文件只有一个功能:FindProxyForURL。有了这个功能,浏览器就定义了要使用哪个代理服务器来建立到各个域的连接。
函数调用implement_pac_script时,fundo-js脚本使用代理自动配置技术。这就导致了FindProxyForURL的功能被替换为一个新的功能——将用户流量重定向到恶意服务器,但只有当用户访问巴西银行的网页时才会出现这种现象。
更改浏览器设置以重定向用户流量
pages.js
在此脚本中,以下代码部分是最重要的:
在属于银行的网页上执行已下载的恶意程式码
就像fundo.js一样,从服务器下载的数据被保存到manualRemovalStorage。这些数据包括几家巴西银行的域名,以及用户访问相关网站时浏览器应该执行的代码。
Pages.js从域ganalytics[.]ga下载以下脚本,并在银行的网站上发布:
·ganalytics[.]ga/bbf.js,
· ganalytics[.]ga/bbj.js,
· ganalytics[.]ga/cef.js,
· ganalytics[.]ga/itf.js,
· ganalytics[.]ga/itf_new.js.
以上所有的脚本都有相似的功能——用来窃取用户的证书。下面我们对其中一个典型脚本进行简单分析。
cef.js
该脚本的功能之一是向在线银行系统的主页添加特定的HTML代码。
向网页添加恶意代码
仔细查看与服务器建立联系后返回的代码,就会发现该脚本需要收集用于在银行站点上进行身份验证的一次性密码。
截取用户的一次性密码
如果用户在输入登录和密码的页面上,脚本将创建“Enter”按钮的克隆,同时还将创建一个函数以点击此按钮。用户的一次性密码存储在这个函数的cookie文件中,以便随后将其传输到C&C。而真正的按钮则被隐藏起来,但恶意脚本会完成一次对真实按钮的点击。
创建“Enter”按钮的副本,并截获在线银行服务的登录名和密码
因此,用户帐户的密码被发送到网银系统以及恶意服务器。
将所有截取的数据发送到C&C
对攻击中使用的web资源的分析提供了一些有趣的信息。特别是,前面提到的ganalytics[.]ga是在Gabon域区注册的,这就是为什么WHOIS服务没有提供太多信息的原因:
WHOIS的信息
然而,它所托管的IP地址也与其他几个有趣的域相关联。
来自KSN的DNS数据片段
很明显,这个IP地址是(或曾经)与其他几个域名相关联的,这些域名包含关键词广告、统计、分析和注册在巴西的域名区域。值得注意的是,他们中的许多IP去年秋天参与了网络矿工的分发工作。在用户访问合法的巴西银行网站时,秘密采矿脚本被下载到用户的电脑上。
KSN数据片段相关的advstatistics.com[.]br
当恶意软件是在用户访问合法网站时被加载的情况下,通常表明数据是在用户本地被修改的。在这个案例中,我们知道它使用了以往攻击相同的IP地址,这说明这个浏览器扩展(或其相关版本)在被用户下载到他们的设备时,具有将加密货币挖掘脚本添加到银行站点的功能。
结论
用于窃取登录和密码的浏览器扩展非常罕见。然而,考虑到它们可能造成的潜在损害,用户需要采取谨慎态度。我们建议用户只在Chrome Web Store或其他官方服务中安装经过验证的扩展。但尽管这些服务的所有者实施了安全保护措施,恶意扩展仍然可以在官网中发布——我们上面已经讨论了一个这样的案例。此外,如果能在设备上安装一个安全产品,当扩展发生可疑行为时,对用户发出警告,是更为谨慎的选择。
*参考来源:Kaspersky Lab,青松编译,转载请注明。