根据最近Proofpoint小组的研究发现,谷歌浏览器chrome的8个扩展组件遭到了不明人士的攻击用来向用户发送恶意广告,在报告中,Proofpoint解释说这8个扩展的作者的开发者账号被不明人士盗取。
报告中还声称,攻击主要发生在今年7月和八月份,攻击者通过网络钓鱼手法获取到了作者们的开发者账号,这意味着使用这些版本的扩展的用户可能不止会被恶意弹窗的广告频繁打扰,也有可能遭受进一步的钓鱼攻击。
通过报告可以知道目前有以下版本的chrome扩展受到影响:
1.Web Developer 0.4.9
2.Chrometana 1.1.3
3.Infinity New Tab 3.12.3
4.CopyFish 2.8.5
5.Web Paint 1.2.1
6.Social Fixer 20.1.1
7.TouchVPN
8.Betternet VPN
调查显示第一次攻击发生于8月2日,当时开发者Chris Pederick报告说他的Chrome扩展开发者账号被劫持了.在推特上,Pederick写道“我的Chrome扩展开发者账号被攻破了,并且随后一个包含恶意代码的版本的扩展(0.4.9)上传了”.
通过安装相应版本的扩展并且进一步检查,我们发现它会下载执行ga.js文件,该文件可以窃取主机的登录凭证并且会替换合法广告为指定的恶意广告.它们会替换一大批设定范围内网站的广告,大部分是成人站点,Proofpoint的报告提到。
此外,这些恶意脚本通过JavaScript伪造的提醒和横幅广告尝试说服用户相信他们的计算机感染了病毒或者需要进行部分修复,这些类型的广告通常会将用户浏览的页面重定向至另一个程序,目的通过这些用户没有使用过的第三方杀软或者修复服务获取提成,但是这还不是全部。
除了劫持流量和引导询问用户是否使用相关软件,我们同时发现他们在悄悄收集和解密Cloudflare的登录凭证,为未来的进一步攻击提供了潜在的可能性。然后Proofpoint立刻联系了Cloudflare并且提醒了他们来确保有相应的措施来应对这些潜在的威胁。
