McAfee研究人员发现了五个恶意Chrome浏览器扩展程序,影响了超过140万用户。McAfee研究人员分析了浏览器扩展并发现了多个恶意Chrome扩展。除了提供扩展功能,浏览器扩展还可以跟踪用户浏览历史。恶意浏览器扩展创建者将访问的每个网站发送到其服务器。此外,恶意浏览器扩展程序可以修改网站cookie,从而允许扩展程序开发人员接收支付信息。浏览器扩展的用户甚至没有意识到恶意扩展的隐私威胁。McAfee分析发现5个用户数量较多的恶意Chrome浏览器扩展程序,影响了超过140万用户,分别是:技术分析本文分析了恶意Chrome扩展程序'mmnbenehknklpbendgmgngeaignppnbe',因为这些扩展程序的行为相似。Manifest.jsonmanifest.json负责设置后台页面为bg.html。这个HTML文件会加载b0.js,它负责发送用户访问的URL并向电子商务网站注入代码。B0.jsb0.js脚本包含多个函数。最重要的功能之一是将用户访问的URL发送到服务器并处理响应。Chrome扩展程序订阅事件作为执行特定活动的触发器。本文分析的扩展程序订阅了来自chrome.tabs.onUpdated的事件。当用户在新的标签页输入新的URL时,会触发chrome.tabs.onUpdated。当此事件触发时,扩展程序使用选项卡url-tab.url设置一个变量。并创建多个其他变量并发送到d.langhort.com。POST数据格式如下:随机ID是通过在字符集中选择8个随机字符创建的。代码如下:使用ip-api.com收集国家,城市,邮编等,代码如下:langhort.com收到URL后检查是否匹配网站列表,并在匹配时响应查询。示例如下:返回数据为json格式。使用以下函数检查响应,并根据响应的具体内容调用其他函数。其中包括passf_url和setCookie。Result['c']–passf_url如果结果为c,扩展将查询返回的URL。然后它会检查响应,如果状态是200或404,它会检查查询响应是否是URL。如果是,它会将URL作为iframe插入要访问的网站。Result['e']setCookie如果结果为e,扩展会将结果作为cookie插入。行为流程下图是访问BestBuy网站的事件流程:当用户访问bestbuy.com时,恶意扩展会将base64编码的URL发布到d.langhort.com/chrome/TrackData/;Langhort.com将响应c和URL。C表示扩展将调用函数passf_url();passf_url()将执行对URL的请求;上一步查询的URL将被重定向到bestbuy.com并返回301响应,响应将包含与域扩展所有者关联的Id;该扩展程序会将URL以iframe的形式插入到用户访问的bestbuy.com中。然后,攻击者收到了用户在bestbuy.com上的购买信息。本文翻译自:https://www.mcafee.com/blogs/other-blogs/mcafee-labs/malicious-cookie-stuffing-chrome-extensions-with-1-4-million-users/
