McAfee威胁分析师发现了五个可以窃取用户网络活动信息的GoogleChrome扩展程序。在被谷歌从Chrome网上应用店中删除之前,它的下载量超过140万次。这些扩展提供了多种功能,例如使用户能够一起观看Netflix节目、跟踪某些网站优惠券以及截取页面屏幕截图。但除了提供上述功能外,它们还跟踪用户的网络活动,并将有关用户访问每个网站的信息发送到扩展程序创建者拥有的服务器。此举是将代码插入访问的电子商务网站,修改网站的cookie,以便扩展作者可以收到用户购买的任何商品的附属付款。扩展的用户不知道此功能的存在,也不知道访问过的每个网站都被发送到扩展作者的服务器的隐私风险。所发现的五个恶意扩展工具如下:NetflixParty(mmnbenehknklpbendgmgngeaignppnbe)–800,000次下载NetflixParty2(flijfnhifgdcbhglkneplegafminjnhn)–300,000次下载FullPageScreenshotCapture–Screenshotting(pojgkmkfincpdkdgjepkmdekcahmckjp)–200,000次下载FlipShope–PriceTrackerExtension(adikhbfjdbjkhelbdnffogkobkekkkej)–80,000downloadsAutoBuyFlashSales(gbnahglfafmhaehbdmjedfhdmimjcbed)–20,000downloadsAll5extensionsperformsimilarbehaviorasdescribed.Web应用程序清单(“manifest.json”文件)指示扩展程序在系统上的行为方式,加载一个多用途脚本(B0.js),该脚本将浏览数据发送到攻击者控制的域(“langhort[.com”)。每次用户访问新的URL时,数据都会通过POST请求传递。欺诈者收到的信息包括base64格式的URL、用户ID、设备位置(国家、城市、邮政编码)和编码的推荐URL。如果被访问的网站与扩展作者有活跃关系的网站列表中的任何条目匹配,服务器将使用两种可能的功能之一响应B0.js。“Result['c']–passf_url”,命令脚本将提供的URL(引用链接)作为iframe插入到访问的网站中。“Result['e']setCookie”,命令B0.js修改cookie,或者如果扩展已被授予相关权限,则将其替换为提供的cookie。值得注意的是,为了逃避检测、分析和混淆研究人员或警惕的用户,一些扩展包括时间检查,在执行任何恶意活动之前将其安装延迟15天。
