偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

惡意Chrome擴(kuò)展影響140萬用戶

安全
本文對(duì)惡意Chrome擴(kuò)展‘mmnbenehknklpbendgmgngeaignppnbe’進(jìn)行分析,因?yàn)檫@些擴(kuò)展的行為是類似的。

McAfee研究人員發(fā)現(xiàn)了5個(gè)惡意Chrome瀏覽器擴(kuò)展,影響超過140萬用戶。

McAfee研究人員分析瀏覽器擴(kuò)展發(fā)現(xiàn)了多個(gè)惡意Chrome擴(kuò)展。除了提供擴(kuò)展功能外,瀏覽器擴(kuò)展還可以追蹤用戶瀏覽記錄。每個(gè)訪問的網(wǎng)站都會(huì)被惡意瀏覽器擴(kuò)展創(chuàng)建者發(fā)送給其服務(wù)器。此外,惡意瀏覽器擴(kuò)展還可以修改網(wǎng)站cookie,使得擴(kuò)展開發(fā)者可以接收到支付信息。而瀏覽器擴(kuò)展的用戶甚至沒有意識(shí)到惡意擴(kuò)展的隱私威脅。

McAfee分析發(fā)現(xiàn)了5個(gè)用戶量比較大的惡意Chrome瀏覽器擴(kuò)展,影響超過140萬用戶,分別是:

惡意Chrome擴(kuò)展影響140萬用戶

技術(shù)分析

本文對(duì)惡意Chrome擴(kuò)展‘mmnbenehknklpbendgmgngeaignppnbe’進(jìn)行分析,因?yàn)檫@些擴(kuò)展的行為是類似的。

Manifest.json

惡意Chrome擴(kuò)展影響140萬用戶

manifest.json 負(fù)責(zé)將背景頁面設(shè)置為bg.html。該HTML文件會(huì)加載b0.js,該文件負(fù)責(zé)發(fā)送用戶訪問的URL和注入代碼到電商網(wǎng)站。

B0.js

b0.js腳本包含多個(gè)功能。其中一個(gè)最重要的功能是發(fā)送用戶訪問的URL到服務(wù)器和處理響應(yīng)。

Chrome擴(kuò)展通過訂閱事件作為執(zhí)行特定活動(dòng)的觸發(fā)器。本文分析的擴(kuò)展訂閱來自chrome.tabs.onUpdated的事件,用戶在新tab頁輸入新URL時(shí),chrome.tabs.onUpdated會(huì)被觸發(fā)。

惡意Chrome擴(kuò)展影響140萬用戶

該事件觸發(fā)后,擴(kuò)展就會(huì)設(shè)置一個(gè)使用tab url的變量——tab.url。并創(chuàng)建其他多個(gè)變量,并發(fā)送給d.langhort.com。POST數(shù)據(jù)格式如下:

惡意Chrome擴(kuò)展影響140萬用戶

random ID是在字符集中選擇8個(gè)隨機(jī)字符創(chuàng)建的。代碼如下所示:

惡意Chrome擴(kuò)展影響140萬用戶

國(guó)家、城市、郵編等都使用ip-api.com收集,代碼如下所示:

惡意Chrome擴(kuò)展影響140萬用戶

在接收到URL后,langhort.com會(huì)檢查是否與網(wǎng)站列表相匹配,如果匹配就響應(yīng)查詢。示例如下:

惡意Chrome擴(kuò)展影響140萬用戶

返回的數(shù)據(jù)是json格式。響應(yīng)會(huì)使用下面的函數(shù)進(jìn)行檢查,根據(jù)響應(yīng)的具體內(nèi)容來調(diào)用其他函數(shù)。其中包括passf_url 和 setCookie。

惡意Chrome擴(kuò)展影響140萬用戶

Result[‘c’] – passf_url

如果結(jié)果是c,擴(kuò)展就會(huì)查詢返回的URL。然后檢查響應(yīng),如果狀態(tài)是200或404,就會(huì)檢查查詢響應(yīng)是否是URL。如果是,就會(huì)將URL作為iframe插入到要訪問網(wǎng)站。

惡意Chrome擴(kuò)展影響140萬用戶

Result[‘e’] setCookie

如果結(jié)果是e,擴(kuò)展就會(huì)將結(jié)果作為cookie插入。

惡意Chrome擴(kuò)展影響140萬用戶

行為流

下圖是訪問BestBuy網(wǎng)站的事件流:

惡意Chrome擴(kuò)展影響140萬用戶

  • 用戶在訪問bestbuy.com時(shí),惡意擴(kuò)展會(huì)將base64編碼的URL發(fā)布在d.langhort.com/chrome/TrackData/;
  • Langhort.com會(huì)響應(yīng)c和URL。C表示擴(kuò)展就會(huì)調(diào)用函數(shù)passf_url();
  • passf_url()會(huì)執(zhí)行對(duì)URL的請(qǐng)求;
  • 上一步查詢的URL會(huì)使用301響應(yīng)重定向到bestbuy.com,響應(yīng)中包含域擴(kuò)展所有者關(guān)聯(lián)的Id;
  • 擴(kuò)展會(huì)將URL以iframe的形式插入到用戶訪問的bestbuy.com。
  • 然后,攻擊者就收到了用戶在bestbuy.com的購買信息了。

本文翻譯自:https://www.mcafee.com/blogs/other-blogs/mcafee-labs/malicious-cookie-stuffing-chrome-extensions-with-1-4-million-users/

責(zé)任編輯:趙寧寧 來源: 嘶吼網(wǎng)
相關(guān)推薦

2022-09-01 11:21:06

擴(kuò)展惡意代碼

2015-02-09 10:14:33

2023-06-13 15:55:54

2020-07-29 15:09:56

Dave數(shù)據(jù)泄露數(shù)據(jù)庫泄露

2024-12-30 13:05:22

2016-01-31 17:45:31

2013-04-27 10:33:52

2013-10-31 14:03:11

2012-07-13 11:05:46

2022-12-08 09:47:29

2011-09-08 09:59:27

Chrome Web

2013-08-23 09:05:02

蘋果iCloud宕機(jī)

2022-05-30 09:49:51

Windows惡意軟件瀏覽器

2023-09-05 13:53:14

2021-02-07 20:50:19

Chrome擴(kuò)展數(shù)據(jù)

2022-08-31 15:57:41

START數(shù)據(jù)泄露黑客

2025-01-06 14:35:03

2024-10-22 15:29:20

2015-12-31 10:57:10

2021-05-09 10:25:07

漏洞Remote MousMouse Trap
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)