您当前的位置:首页 > 电脑百科 > 安全防护 > 资讯

超200万人中招,曝光黑色产业链

时间:2022-11-24 20:06:34  来源:今日头条  作者:血超级厚的土豆

最近安全专家在研究中发现有多个恶意的Chrome扩展插件和浏览器劫机者(Browser Hijackers)感染了超过200万用户。浏览器劫机者是一种不受欢迎的程序,它在没有用户许可的情况下修改浏览器设置,并将浏览器重定向到用户不打算访问的特定网页。安装后,浏览器劫机者可能会通过将用户重定向到恶意网站,为后期的恶意攻击打开大门。

我们发现的所有恶意扩展插件都出现在Chrome网络商店中。安装后,我们观察到浏览器的劫机者在用户不知情的情况下试图改变浏览器的默认搜索引擎

我们同时也注意到如果用户试图恢复到默认的浏览器设置,浏览器的插件扩展功能将无法工作。

这些恶意的扩展插件将用户查询发送到不同的服务器,然后从其他搜索引擎返回搜索结果 ,如雅虎或必应,而不是默认的搜搜引擎。这样的搜索查询重定向可以收集用户信息,插入广告,甚至给黑客带来直接的经济利益

在技术分析中,我们将介绍三种主要针对的浏览器劫机者

Hijacker Plugin 1:

WebSecurerr浏览器保护扩展,它声称保护用户免受恶意网站攻击。它的安装量超过20万,目前在Chrome网上商店上很活跃。


 


 

安装后,恶意扩展插件会打开一个新的选项卡,它敦促用户保持它所做的更改。如果用户点击“更改回去”或手动尝试恢复到默认设置,扩展将无法工作或将自动禁用。

这个扩展试图改变浏览器搜索URL为“go.searchsecurer.com”,并进一步将用户的搜索查询重定向到雅虎搜索引擎。使用这种重定向技术可以很容易地捕获用户的搜索关键字.


 

捕获搜索关键字后,扩展验证关键字是否是一个域名,并以JSON格式将其与托管在searchsecrrer. com上的硬编码域列表进行比较。如果匹配,它要么阻止请求,要么显示警告消息。

这些JSON文件总共包含超过1000个域名,我们观察到其中一些也是合法网站。因此,这个扩展可能会显示合法网站的警告消息。

此外,在代码中发现,该扩展的开发人员可能为STOPPROPAGANDA campAIgn 效力,表明该扩展的作者可能正在将更多的流量重定向到俄罗斯政府网站。下图显示了当用户添加的URL被标记为恶意时,将用户带到俄罗斯网站的代码。


 

目前,由于编码缺陷,或者开发人员故意修改了该代码,该代码无法使用。这个扩展显示一个警告消息时,它标记为恶意的网站。当用户单击警告消息中显示的链接,又会被重定向到俄罗斯政府网站。

Hijacker Plugin 2 :

Ultrasurf允许用户通过利用代理服务器绕过互联网审查法律。这个扩展在Chrome网络商店有超过80万的安装。

Extension ID: mjnbclmflcpookeapghfhapeffmpodij

Name: UltraSurf Security, Privacy & Unblock VPN

Browser: Chrome

安装后,这个扩展改变受害者浏览器的默认搜索URL的为smartwebfinder[.]com。研究人员在过去也发现了一些扩展,将默认搜索引擎改为“smartwebfinder”。


 

用户搜索经过多次重定向,最终结果将通过必应搜索引擎显示。这个扩展创建多个重定向,导致显示搜索结果的延迟。下图显示了这些重定向


 

这个扩展需要遵循浏览器的权限来访问chrome的内置api:

webRequest: 提供chrome扩展访问。webRequest API用于观察和分析流量,并可以拦截、阻塞或修改流量中的请求。

storage:提供对chrome的扩展访问。存储API。

proxy:授予扩展访问chrome。代理API

当浏览器上每次搜索操作时,这个扩展可以会在一个新选项卡中重复多次打开“ultrasurfing.com",并通过不必要的消耗资源而降低系统的运行速度。

扩展使用chrome.tabs.create()方法来创建一个新的选项卡。下图显示了使用唯一的TabID创建新选项卡并打开ultrasurfing[.]com的代码


 

Hijacker Plugin 3

根据描述,Inte.NET-Start声称可以替换用户当前的搜索结果,并将搜索查询的结果转换为更方便的格式。

下图显示了安装量超过100万的Chrome扩展。

Extension ID: llcdellnofncikmhimjdbkdjgpmcjbik

Name: Internet-Start

Browser: Chrome


 

安装后,这个扩展改变您的默认搜索引擎为internet-start[.]net。这个扩展声称有多种功能。然而,我们并没有观察到其他功能。该扩展声称可以阻止广告,但它显示的结果中却包含了其他与用户输入的搜索关键字或用户情绪相关的广告。

在我们的分析中,发现该扩展试图收集用户数据,以创建有针对性的广告。这个扩展将流量重定向到Yandex指标,由Yandex提供的基于web的分析服务,跟踪和报告网站流量。

它还使用AdSense,使开发商能够产生广告收入。下图显示了搜索活动期间扩展的网络活动。


 


 

总结

Web扩展在所有最流行的浏览器中广泛使用,使它们成为将用户重定向到恶意网站的主要载体。劫机者还可以用来监视用户,并执行广告活动来创收。

扩展开发人员还可以将用户数据出售给第三方以获得经济利益



Tags:黑色产业链   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
两元就能P不雅照?警惕AI黑色产业链批量“造黄谣”
P图机器人有多种功能。受访者供图 不法分子在网络上叫卖AI图集。受访者供图多名受害者被不法分子P图。受访者供图6月27日,中央网信办下发《关于开展“清朗·2023年暑期...【详细内容】
2023-07-13  Search: 黑色产业链  点击:(122)  评论:(0)  加入收藏
超200万人中招,曝光黑色产业链
最近安全专家在研究中发现有多个恶意的Chrome扩展插件和浏览器劫机者(Browser Hijackers)感染了超过200万用户。浏览器劫机者是一种不受欢迎的程序,它在没有用户许可的情况下...【详细内容】
2022-11-24  Search: 黑色产业链  点击:(321)  评论:(0)  加入收藏
户外服装品牌TheNorthFace遭遇撞库,揭秘撞库黑色产业链条
前言:近期户外服装品牌TheNorthFace遭遇撞库攻击,thenorthface.com网站上有200,000个账户被黑。撞库攻击到底是如何成功窃取账户数据的?近期户外服装品牌TheNorthFace遭遇撞库...【详细内容】
2022-09-16  Search: 黑色产业链  点击:(345)  评论:(0)  加入收藏
游戏外挂黑产规模达20亿,腾讯守护者计划揭秘背后黑色产业链
透视锁血,上天入地,八百里开外一枪淘汰对手,视力好得像是开了“天眼”……你是否在游戏中遇到过这类对手,技能如同“开挂”一般?先别急着羡慕他们,因为,这些“千里眼”...【详细内容】
2020-09-02  Search: 黑色产业链  点击:(373)  评论:(0)  加入收藏
起底长江流域电鱼黑色产业链
一两个人驾驶一艘电鱼船,电鱼网探入水中,刹那间水面泛起一片“白”,水中的鱼挣扎几秒钟后就丧失了活动能力,浮在水面。电鱼者撒下渔网,实现此行的“大丰收”。这是长江上最常见的...【详细内容】
2020-07-28  Search: 黑色产业链  点击:(409)  评论:(0)  加入收藏
新买的手机竟被植入木马!涉31个省市570多万部手机的“薅羊毛”黑色产业链被警方摧毁
为了招揽客户,一些电商平台往往会给新注册用户发放优惠券或者新人红包,网络上专门有人搜集各类优惠券、红包,这种行为被称为“薅羊毛”。但想要“薅羊毛”就要用新手机号进行注...【详细内容】
2020-04-08  Search: 黑色产业链  点击:(732)  评论:(0)  加入收藏
▌简易百科推荐
国家安全部:95后“技术宅”遇间谍网络勾连,共享国家级项目数据后次日举报获奖
国家安全部微信公众号3月25日发文介绍一起网勾案件,全文如下:2023年,某高新技术企业的青年设计师阿强,拨打国家安全机关12339举报受理电话称,某科技论坛上一名昵称“暗影Dark”的...【详细内容】
2024-03-25    观察者网  Tags:间谍   点击:(18)  评论:(0)  加入收藏
我国某高新企业遭境外网络勒索攻击,国安部发文谈如何防范
在信息化时代,网络犹如“神经系统”,网络安全出现问题,不仅影响社会稳定与经济发展,也会威胁到国家安全和利益。近年来,日益猖獗的境外网络勒索攻击,已成为我国网络安全“公害”。...【详细内容】
2024-03-21  国家安全部  微信公众号  Tags:网络勒索   点击:(24)  评论:(0)  加入收藏
《2024人工智能安全报告》:2023年AI深度伪造欺诈增长30倍
近日,奇安信集团发布《2024人工智能安全报告》(以下简称《报告》)。《报告》显示,2023年基于AI的深度伪造欺诈增长了3000%,基于AI的钓鱼邮件增长了1000%;目前已发现多个有国家背景的...【详细内容】
2024-03-18    环球网  Tags:人工智能安全   点击:(21)  评论:(0)  加入收藏
1300万次攻击!求职招聘类APP遭黑客攻击 个人信息被泄露
根据最新的央视新闻报道,一款求职招聘类APP的短信验证码接口在近期内遭到了1300多万次的攻击。经警方调查发现,这起事件是由两名嫌疑人所为,他们利用网站漏洞制造黑客软件,并通...【详细内容】
2023-12-11  中关村在线    Tags:黑客攻击   点击:(223)  评论:(0)  加入收藏
应对勒索病毒攻击!全网首个 “远控·勒索急救”功能上线
随着勒索病毒和远程控制软件的攻击事件频发,数据安全和隐私保护方面面临重大挑战。近日,360安全卫士推出了全网首个“远控·勒索急救”功能,旨在提供一个可靠的自行处置...【详细内容】
2023-12-08    大众网  Tags:勒索   点击:(195)  评论:(0)  加入收藏
勒索工行美国分行的LockBit是个什么组织?
来源:冰川思享号撰文丨刘远举11月8日,中国工商银行在美全资子公司——工银金融服务有限责任公司(ICBCFS),受到Lockbit勒索软件组织攻击。虽然ICBCFS表示,发现攻击后立即...【详细内容】
2023-11-26  冰川思享号    Tags:LockBit   点击:(325)  评论:(0)  加入收藏
国家安全部:美国2009年就开始入侵华为总部服务器
中新经纬9月20日电 国家安全部官方微信公众号20日发布《起底美国情报机关网攻窃密的主要卑劣手段》。全文如下:近日,中国国家计算机病毒应急处理中心通报,在处置西北工业大学遭...【详细内容】
2023-09-20    中新经纬  Tags:入侵   点击:(244)  评论:(0)  加入收藏
新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键!
近日,国家计算机病毒应急处理中心和360公司对一款名为“二次约会”的间谍软件进行了技术分析,分析报告显示,该软件是美国国家安全局(NSA)开发的网络间谍武器。据了解,在国家计算...【详细内容】
2023-09-14    央视新闻客户端  Tags:黑客   点击:(271)  评论:(0)  加入收藏
恶意软件 AMOS 威胁升级:在谷歌搜索投放广告、钓鱼诱骗 Mac 用户安装
IT之家 9 月 7 日消息,网络安全公司 Cyble Research 今年 4 月发布报告,发现有黑客正在兜售针对 macOS 的恶意软件--Atomic macOS Stealer(AMOS)。网络安全公司 Malwarebytes 今...【详细内容】
2023-09-07    IT之家  Tags:恶意软件   点击:(295)  评论:(0)  加入收藏
英国专家:人工智能可通过键盘声窃取密码
《参考消息》日前刊登英国《泰晤士报》网站文章《人工智能可以通过聆听你敲击键盘的声音来窃取密码》,报道摘要如下:来自英国杜伦大学、萨里大学和伦敦大学皇家霍洛韦学院的专...【详细内容】
2023-08-14    新华社  Tags:密码   点击:(183)  评论:(0)  加入收藏
站内最新
栏目相关
  • · 国家安全部:95后“技术宅”遇间谍网络勾连,共享国家级项目数据后次日举报获奖
  • · 我国某高新企业遭境外网络勒索攻击,国安部发文谈如何防范
  • · 《2024人工智能安全报告》:2023年AI深度伪造欺诈增长30倍
  • · 1300万次攻击!求职招聘类APP遭黑客攻击 个人信息被泄露
  • · 应对勒索病毒攻击!全网首个 “远控·勒索急救”功能上线
  • · 勒索工行美国分行的LockBit是个什么组织?
  • · 国家安全部:美国2009年就开始入侵华为总部服务器
  • · 新证据!网攻西工大的神秘黑客身份被锁定,“间谍软件”是关键!
  • · 恶意软件 AMOS 威胁升级:在谷歌搜索投放广告、钓鱼诱骗 Mac 用户安装
  • · 英国专家:人工智能可通过键盘声窃取密码
  • · 数千名黑客齐聚拉斯维加斯 共同“围剿”ChatGPT等AI应用
  • · 大运会正赛期间拦截网络攻击1596万次
  • · 重磅!黑客破解特斯拉自动驾驶套餐功能,价值高达15000美元,下周公开!
  • · 报告称黑客滥用LOLBAS,通过微软Office安装包分发恶意软件
  • · 7月黑客不停歇 各类安全事件涉及的总金额达4.15亿美元
  • · 利用互联网作恶,美国“阴招”用尽
  • · 警惕,“高仿”邮箱骗局!“黑客”入侵互换两个字母,50万美元险被“劫”走
  • · 中美黑客大决战:8万中国网民席卷欧美,白宫升起五星红旗
  • · 2023年十大开源安全和运营风险
  • · 识破网络钓鱼企图的10个方法
  • 站内热门
    站内头条