超200万人中招，曝光黑色产业链 _黑色产业链

最近安全专家在研究中发现有多个恶意的Chrome扩展插件和浏览器劫机者(Browser Hijackers)感染了超过200万用户。浏览器劫机者是一种不受欢迎的程序，它在没有用户许可的情况下修改浏览器设置，并将浏览器重定向到用户不打算访问的特定网页。安装后，浏览器劫机者可能会通过将用户重定向到恶意网站，为后期的恶意攻击打开大门。
我们发现的所有恶意扩展插件都出现在Chrome网络商店中。安装后，我们观察到浏览器的劫机者在用户不知情的情况下试图改变浏览器的默认搜索引擎。
我们同时也注意到如果用户试图恢复到默认的浏览器设置，浏览器的插件扩展功能将无法工作。
这些恶意的扩展插件将用户查询发送到不同的服务器，然后从其他搜索引擎返回搜索结果，如雅虎或必应，而不是默认的搜搜引擎。这样的搜索查询重定向可以收集用户信息，插入广告，甚至给黑客带来直接的经济利益
在技术分析中，我们将介绍三种主要针对的浏览器劫机者
Hijacker Plugin 1:
WebSecurerr浏览器保护扩展，它声称保护用户免受恶意网站攻击。它的安装量超过20万，目前在Chrome网上商店上很活跃。

文章插图

文章插图

安装后，恶意扩展插件会打开一个新的选项卡，它敦促用户保持它所做的更改。如果用户点击“更改回去”或手动尝试恢复到默认设置，扩展将无法工作或将自动禁用。
这个扩展试图改变浏览器搜索URL为“go.searchsecurer.com”，并进一步将用户的搜索查询重定向到雅虎搜索引擎。使用这种重定向技术可以很容易地捕获用户的搜索关键字.

文章插图

捕获搜索关键字后，扩展验证关键字是否是一个域名，并以JSON格式将其与托管在searchsecrrer. com上的硬编码域列表进行比较。如果匹配，它要么阻止请求，要么显示警告消息。
这些JSON文件总共包含超过1000个域名，我们观察到其中一些也是合法网站。因此，这个扩展可能会显示合法网站的警告消息。
此外，在代码中发现，该扩展的开发人员可能为STOPPROPAGANDA campaign 效力，表明该扩展的作者可能正在将更多的流量重定向到俄罗斯政府网站。下图显示了当用户添加的URL被标记为恶意时，将用户带到俄罗斯网站的代码。

文章插图

目前，由于编码缺陷，或者开发人员故意修改了该代码，该代码无法使用。这个扩展显示一个警告消息时，它标记为恶意的网站。当用户单击警告消息中显示的链接，又会被重定向到俄罗斯政府网站。
Hijacker Plugin 2 :
Ultrasurf允许用户通过利用代理服务器绕过互联网审查法律。这个扩展在Chrome网络商店有超过80万的安装。
Extension ID: mjnbclmflcpookeapghfhapeffmpodij
Name: UltraSurf Security, Privacy & Unblock VPN
Browser: Chrome
安装后，这个扩展改变受害者浏览器的默认搜索URL的为smartwebfinder[.]com 。研究人员在过去也发现了一些扩展，将默认搜索引擎改为“smartwebfinder” 。