c浏览器给我们带来了很大的方便,但是我们在享受便捷的同时,有没有想过恶意插件正潜伏在我们的浏览器里,随时会窃取我们的个人信息……背景恶意软件感染链安全公司r在其客户中检测到一款零日恶意软件,它通过f上的链接进行传播,并滥用g c扩展程序('n'),执行凭证窃取加密点击欺诈等操作来感染用户上海网络维护
自年月以来,该恶意软件已经在全球范围内感染了超过万名用户
感染过程由于最初的n使用程序将图片替换为“n t”,并且导致大部分感染,r将其称为恶意软件“n”
恶意软件将受害者重定向到一个虚假的yt页面,并要求用户安装c扩展程序来播放视频
伪yt页面一旦用户点击“添加扩展”,恶意扩展就会被安装,机器成为僵尸网络的一部分
恶意软件基于c,在w和l上运行
而且,这一活动只针对c浏览器,不运用c的用户不会受到威胁
绕过g使用程序验证工具操纵者创建了合法扩展的副本,并注入一个简短的混淆恶意脚本来启动恶意软件操作
(左边)合法版本,(右边)恶意版本r认为,这样做是为了绕过谷歌的扩展验证检查
到现在为止,研究小组已经观察到其中的个恶意扩展,其中个已经被g的安全算法识别和阻止
n和pl保持活跃
已知扩展程序恶意软件一旦在c浏览器上安装了扩展,就会执行恶意js(参见下文),从c下载初始配置
从c获得的配置文件然后将部署一组请求,每个请求都有自己的目的和触发器
以下是通讯协议
恶意软件功能数据盗窃该恶意软件主要用于窃取f登录凭证和i
如果在机器上登录(或者找到i ),它将被发送到c
然后将用户重定向到f api以生成访问令牌,如果成功,该令牌也将被发送到c
f传播生成经过身份验证的用户的f访问令牌,并开始传播阶段
恶意软件为了将恶意链接传播到用户的网络,而收集相关的帐户信息
访问c路径“”并返回到随机uri
例如这个链接有两种方式一种是通过f m发送的消息,另一种是包含最多个联系人的标签的新帖子
一旦受害者点击链接,感染过程再次启动,并将其重定向到一个相似y的网页,该网页需要一个“插件安装”来查看视频
加密恶意软件下载的另一个插件是一个加密工具
攻击者正在运用公开的浏览器挖掘工具,使受感染的机器开始挖掘加密货币
js代码是从包含组控件和矿池的外部网站下载的
r注意到,在过去几天里,该小组试图挖掘三种不一样的硬币(m, b 和 e),这些都是基于允许通过任何处理器进行挖掘的“cn”算法
r观察到的矿池加密持久性该恶意软件运用多种技术来保持计算机上的持久性,并确保其在f上的活动是持久的
如果用户试图打开“扩展”选项卡以删除扩展,恶意软件将关闭该选项卡并阻止删除
恶意软件从c下载uri r,并阻止试图访问的用户
以下链接展示了恶意软件如何试图阻止访问看起来像是f和c的清理工具,甚至阻止用户编辑删除帖子和发表评论
yt欺诈一旦下载并执行yt插件,恶意软件就会尝试访问c上uri“”来接收命令
检索到的指令可能是观看喜欢或评论视频,也可以订阅页面
r认为,该组织正试图从yt上获利,尽管还没有看到任何视频点击率很高
c指令的一个例子恶意软件防护零日恶意软件往往利用复杂的规避技术,绕过技能团队研究的现有保护措施
尽管有几种安全搞定方案,r在一个保护良好的网络中发现的并未发现n
r的机器学习算法分析了该大型组织的通信日志,关联了多个指标,并阻止了受感染机器的c访问
随着这种恶意软件的传播,该组织将继续寻找利用被盗资产的新方式
这些组织不断制造新的恶意软件和变异,以绕过安全控制
r如何绕过安全w网关识别恶意软件的搞定方案体系妥协指标建议尽管已经删除了上面列出的所有扩展,但是如果你已经安装了其中的任何一个,那么建议您立即卸载它,并更改您的以及其他您运用相同凭证的帐户的密码
由于f垃圾邮件活动非常普遍,所以建议用户在点击通过社交网站平台提供的链接和文件时保持警惕