几个月前,McAfee发表了一篇关于恶意扩展程序的文章,该扩展程序将用户重定向到钓鱼网站,并将附属ID插入电子商务网站的cookie中。从那以后,研究人员调查了其他几个恶意扩展,共发现了五个总安装量超过140万的扩展。这些扩展提供了诸如使用户能够一起观看Netflix节目、网站优惠券和截取网站屏幕截图等功能。后者从另一个名为GoFullPage的流行扩展中借用了几个短语。除了提供预期的功能外,该扩展程序还跟踪用户的浏览活动。访问的每个网站都会发送到扩展程序创建者拥有的服务器。他们这样做是为了将代码插入他们正在访问的电子商务网站。此操作会修改站点上的cookie,以便扩展程序开发人员收到购买的任何项目的附属付款。扩展的用户并不知道此功能,并且将访问过的每个网站发送到扩展开发人员的服务器都存在隐私风险。5扩展技术分析本节包含恶意chrome扩展“mmnbenehknklpbendgmgngeaignppnbe”的技术分析。所有5个扩展都执行类似的行为。Manifest.jsonmanifest.json设置后台页面为bg.html。此HTML文件加载b0.js,它负责发送访问的URL并将代码注入电子商务站点。B0.jsb0.js脚本包含很多功能。本文将重点介绍负责将访问的URL发送到服务器并处理响应的函数。Chrome扩展程序的工作方式是订阅事件,然后将事件用作执行某些活动的触发器。扩展分析订阅事件来自chrome.tabs.onUpdated。chrome.tabs.onUpdated将在用户导航到选项卡中的新URL时触发。一旦此事件触发,扩展程序将使用tab.url变量设置一个名为curl的变量和选项卡的URL。它创建了几个其他变量,然后将其发送到d.langhort.com。POST数据格式如下:从字符集中选择8个随机字符创建一个随机ID。代码如下所示:使用ip-api.com收集国家、城市和邮编。代码如下所示:收到URL后,langhort.com将检查它是否与具有附属ID的站点列表匹配,如果匹配,它将响应查询。示例如下所示:返回的数据为JSON格式。使用下面的函数检查响应,并将根据响应包含的内容调用更多函数。下面详细介绍其中两个函数:(1)Result['c']–passf_url如果结果为“c”,例如本文中的那个,扩展将查询返回的URL。然后它将检查响应,如果状态为200或404,它将检查查询是否以URL响应。如果是这样,它将从服务器接收到的URL作为iframe插入到正在访问的网站上。(2)Result['e']setCookie如果结果为'e',扩展会将结果插入到cookie中。然而,在我们的分析过程中,我们无法找到对“e”的响应,但这将允许开发人员将任何cookie添加到任何网站,因为扩展程序具有正确的“cookie”权限。行为流程下图显示了导航到BestBuy网站时的分步流程。用户导航到bestbuy.com,扩展程序将此URL以Base64格式发布到d.langhort.com/chrome/TrackData/;Langhort.com以“c”和URL响应。“c”表示扩展将调用函数passf_url();passf_url()将执行对URL的请求;在步骤3中查询的URL被重定向到带有301响应的bestbuy.com,并且其附属ID与扩展所有者相关联;扩展程序将URL作为iframe插入用户访问的bestbuy.com网站;显示为与扩展所有者关联的附属ID设置的cookie。他们现在将收到在bestbuy.com上进行的任何购买的佣金;可以在此处找到该过程的视频。避免自动分析中的时间延迟我们在某些扩展中发现了一个有趣的技巧,可以防止在自动分析的上下文中识别恶意活动。它们包含执行任何恶意活动之前的时间检查。这是通过检查当前日期是否比安装时间晚15天来完成的。总结本文重点介绍了安装扩展程序的风险,即使是那些安装基础很大的扩展程序,因为它们仍然可能包含恶意代码。建议您在安装Chrome扩展时要小心,并注意它们请求的权限。Chrome在安装扩展程序之前显示权限。如果扩展程序请求在您访问的每个网站上运行的许可,客户应采取额外步骤来验证真实性,例如本文详述的网站。本文翻译自:https://www.mcafee.com/blogs/other-blogs/mcafee-labs/malicious-cookie-stuffing-chrome-extensions-with-1-4-million-users/
