研究人员发现恶意镀铬扩展

官方Chrome商店中发现了近90个恶意谷歌浏览器扩展，可以注入访问的网站，广告，加密电机挖掘代码和代码来记录浏览活动。

根据安全公司趋势科技的研究人员称，这些恶意铬扩展有超过400,000台计算机。

研究人员说，僵尸网络被称为Droidclub，被称为Droidclub，旨在滥用合法的会话重播图书馆，以违反受害者的隐私。

据Joseph Chen，Joseph Chen，欺诈研究人员，欺诈研究人员介绍，虽然研究人员预测了这些库的滥用，但是网站所有者将被批准用于重播用户的访问，这是一个旨在通过网站业主重播用户的访问。在趋势科技。

“攻击者通过混合进行恶意[恶意广告]和社会工程，让用户通过混合来安装这些恶意铬扩展，”他在博客文章中写道。

安装后，旨在检查僵尸网络命令和控制（C＆C）服务器是否在线，下载任何所需的配置代码，并报告回C＆C服务器。此过程每五分钟重复一次。

将定期弹出一个DROIDCLUB感染的浏览器，将弹出一个显示Web广告的新选项卡。URL和频率都作为来自C＆C服务器的配置信息的一部分发送。

研究人员认为，这种僵尸网络正在以这种方式使用，以人为地提高某些广告的印象，从而提高了看法和收入。

DROIDCLUB还旨在修改观看网站的内容，包括将外部链接添加到转到广告的某些关键字并更换现有广告。

来自Yandex Metrica的合法Web Analytics JavaScript库也注入了受害者浏览器上的访问网站，以记录操作，包括鼠标，滚动和击键。

“不幸的是，在攻击者的手中，这代表了一个非常强大的工具，可以违反用户的隐私。陈某说，扩展和图书馆的结合可以窃取进入姓名，信用卡号码，CVV号，电子邮件地址和电话号码等表单的数据，而不是密码，“陈说。

研究人员还发现，以前版本的Droidclub在野外仍然活跃，似乎是2017年4月的似乎创建的野外，其中较新版本于2017年11月创建。

早期版本连接到相同的C＆C服务器，似乎专注于注入加密电机挖掘代码。根据校对点的安全研究人员，在台式计算机上无法有效地开采加密货币，分布式僵尸网络可以对其运营商证明非常有利可图。

DROIDCLUB设计成使用户更困难地尝试卸载并报告恶意扩展。如果扩展通过官方Google Chrome频道检测到用户尝试报告扩展，则用户将重定向到其扩展名的介绍页面。如果用户尝试通过Chrome的扩展管理页面删除扩展，则恶意扩展将用户重定向到虚假页面，这导致用户相信已卸载扩展。

趋势科技说有几种方法可以减轻这种威胁：

趋势科技还联系了谷歌，该谷歌已从官方Chrome Web Store中删除了这些扩展。此外，C＆C服务器已从CloudFlare中删除。

根据Google的说法，已从Chrome Web Store中删除了受影响的扩展，并禁用所有受影响的Chrome用户的设备。

“目前，我们的安全系统每月阻止超过1,000个恶意扩展。如果延期看起来很可疑，我们会鼓励用户通过Chrome Web Store页面将其报告为潜在的滥用，因此我们可以更深入地审核，“谷歌在趋势科技发表中表示。