幾個月前，McAfee發(fā)布了一篇關(guān)于惡意擴展程序的文章，該擴展程序?qū)⒂脩糁囟ㄏ虻结烎~網(wǎng)站并將會員 ID 插入電子商務(wù)網(wǎng)站的 cookie。從那時起，研究人員就開始調(diào)查了其他幾個惡意擴展，總共發(fā)現(xiàn)了 5 個擴展，總安裝量超過140 萬。

這些擴展提供了各種功能，例如使用戶能夠一起觀看 Netflix 節(jié)目、網(wǎng)站優(yōu)惠券并對網(wǎng)站進行截圖。后者從另一個名為 GoFullPage 的流行擴展中借用了幾個短語。

除了提供預(yù)期的功能外，擴展程序還跟蹤用戶的瀏覽活動。每個訪問的網(wǎng)站都會發(fā)送到擴展程序創(chuàng)建者擁有的服務(wù)器。他們這樣做是為了將代碼插入正在訪問的電子商務(wù)網(wǎng)站。此操作會修改網(wǎng)站上的 cookie，以便擴展開發(fā)者收到購買的任何物品的附屬付款。

擴展程序的用戶不知道此功能以及被訪問的每個網(wǎng)站的隱私風(fēng)險都被發(fā)送到擴展程序開發(fā)者的服務(wù)器。

5個擴展

技術(shù)分析

本節(jié)包含惡意 chrome 擴展“mmnbenehknklpbendgmgngeaignppnbe”的技術(shù)分析。所有 5 個擴展都執(zhí)行類似的行為。

Manifest.json

manifest.json 將背景頁面設(shè)置為 bg.html。這個 HTML 文件加載 b0.js，它負責(zé)發(fā)送被訪問的 URL 并將代碼注入電子商務(wù)網(wǎng)站。

B0.js

b0.js腳本包含許多函數(shù)。本文將重點介紹負責(zé)將訪問過的 URL 發(fā)送到服務(wù)器并處理響應(yīng)的函數(shù)。

Chrome擴展的工作方式是訂閱事件，然后將其用作執(zhí)行特定活動的觸發(fā)器。擴展分析訂閱事件來自chrome.tabs.onUpdated。當用戶導(dǎo)航到一個標簽內(nèi)的新URL時，chrome.tabs.onUpdated將觸發(fā)。

一旦此事件觸發(fā)，擴展程序?qū)⑹褂?tab.url 變量設(shè)置一個名為 curl 的變量和選項卡的 URL。它創(chuàng)建了幾個其他變量，然后將這些變量發(fā)送到 d.langhort.com。 POST 數(shù)據(jù)格式如下：

隨機 ID 是通過在字符集中選擇 8 個隨機字符來創(chuàng)建的。代碼如下所示：

國家、城市和郵編是使用 ip-api.com 收集的。代碼如下所示：

收到 URL 后，langhort.com 將檢查它是否與擁有附屬 ID 的網(wǎng)站列表匹配，如果匹配，它將響應(yīng)查詢。這方面的一個示例如下所示：

返回的數(shù)據(jù)為 JSON 格式。使用下面的函數(shù)檢查響應(yīng)，并將根據(jù)響應(yīng)包含的內(nèi)容調(diào)用更多函數(shù)。

其中兩個函數(shù)詳述如下：

(1) Result[‘c’] – passf_url

如果結(jié)果是“c”，例如本文的結(jié)果，則擴展程序?qū)⒉樵兎祷氐?URL。然后它將檢查響應(yīng)，如果狀態(tài)是 200 或 404，它將檢查查詢是否以 URL 響應(yīng)。如果是這樣，它將從服務(wù)器接收到的 URL 作為 iframe 插入到正在訪問的網(wǎng)站上。

(2) Result[‘e’] setCookie

如果結(jié)果是' e '，擴展會將結(jié)果插入到cookie中。不過在分析過程中，我們無法找到“e”的響應(yīng)，但這將使開發(fā)者能夠?qū)⑷魏?cookie 添加到任何網(wǎng)站，因為擴展具有正確的“cookie”權(quán)限。

行為流

下圖顯示了導(dǎo)航到 BestBuy 網(wǎng)站時的分步流程。

1. 用戶導(dǎo)航到 bestbuy.com，擴展程序?qū)⒋?URL 以 Base64 格式發(fā)布到 d.langhort.com/chrome/TrackData/；
2. Langhort.com 以“c”和 URL 響應(yīng)。 “c”表示擴展將調(diào)用函數(shù) passf_url()；
3. passf_url() 將對 URL 執(zhí)行一個請求；
4. 步驟 3 中查詢的 URL 使用 301 響應(yīng)重定向到 bestbuy.com，其附屬 ID 與擴展所有者相關(guān)聯(lián)；
5. 該擴展程序會將 URL 作為 iframe 插入到用戶訪問的 bestbuy.com 網(wǎng)站中；
6. 顯示為與擴展所有者關(guān)聯(lián)的附屬 ID 設(shè)置的 Cookie。他們現(xiàn)在將收到在 bestbuy.com 上進行的任何購買的傭金；

整個過程的視頻請點此。

避免自動分析的時間延遲

我們在一些擴展中發(fā)現(xiàn)了一個有趣的技巧，可以防止在自動分析環(huán)境中識別惡意活動。它們包含在執(zhí)行任何惡意活動之前的時間檢查。這是通過檢查當前日期是否距離安裝時間大于15 天來完成的。

總結(jié)

本文強調(diào)了安裝擴展的風(fēng)險，即使是那些擁有大量安裝基礎(chǔ)的擴展，因為它們?nèi)匀豢赡馨瑦阂獯a。

建議你在安裝 Chrome 擴展程序時要小心謹慎，并注意他們請求的權(quán)限。

在安裝擴展程序之前，Chrome 會顯示權(quán)限。如果擴展程序請求允許它在你訪問的每個網(wǎng)站上運行的權(quán)限，客戶應(yīng)該采取額外的步驟來驗證真實性，例如本文中詳述的網(wǎng)站。

本文翻譯自：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/malicious-cookie-stuffing-chrome-extensions-with-1-4-million-users/