超200万人中招，曝光黑色产业链

最近安全专家在研究中发现有多个恶意的Chrome扩展插件和浏览器劫机者(Browser Hijackers)感染了超过200万用户。浏览器劫机者是一种不受欢迎的程序，它在没有用户许可的情况下修改浏览器设置，并将浏览器重定向到用户不打算访问的特定网页。安装后，浏览器劫机者可能会通过将用户重定向到恶意网站，为后期的恶意攻击打开大门。

我们发现的所有恶意扩展插件都出现在Chrome网络商店中。安装后，我们观察到浏览器的劫机者在用户不知情的情况下试图改变浏览器的默认搜索引擎。

我们同时也注意到如果用户试图恢复到默认的浏览器设置，浏览器的插件扩展功能将无法工作。

这些恶意的扩展插件将用户查询发送到不同的服务器，然后从其他搜索引擎返回搜索结果 ，如雅虎或必应，而不是默认的搜搜引擎。这样的搜索查询重定向可以收集用户信息，插入广告，甚至给黑客带来直接的经济利益

在技术分析中，我们将介绍三种主要针对的浏览器劫机者

Hijacker Plugin 1:

WebSecurerr浏览器保护扩展，它声称保护用户免受恶意网站攻击。它的安装量超过20万，目前在Chrome网上商店上很活跃。

安装后，恶意扩展插件会打开一个新的选项卡，它敦促用户保持它所做的更改。如果用户点击“更改回去”或手动尝试恢复到默认设置，扩展将无法工作或将自动禁用。

这个扩展试图改变浏览器搜索URL为“go.searchsecurer.com”，并进一步将用户的搜索查询重定向到雅虎搜索引擎。使用这种重定向技术可以很容易地捕获用户的搜索关键字.

捕获搜索关键字后，扩展验证关键字是否是一个域名，并以JSON格式将其与托管在searchsecrrer. com上的硬编码域列表进行比较。如果匹配，它要么阻止请求，要么显示警告消息。

这些JSON文件总共包含超过1000个域名，我们观察到其中一些也是合法网站。因此，这个扩展可能会显示合法网站的警告消息。

此外，在代码中发现，该扩展的开发人员可能为STOPPROPAGANDA campaign 效力，表明该扩展的作者可能正在将更多的流量重定向到俄罗斯政府网站。下图显示了当用户添加的URL被标记为恶意时，将用户带到俄罗斯网站的代码。

目前，由于编码缺陷，或者开发人员故意修改了该代码，该代码无法使用。这个扩展显示一个警告消息时，它标记为恶意的网站。当用户单击警告消息中显示的链接，又会被重定向到俄罗斯政府网站。

Hijacker Plugin 2 :

Ultrasurf允许用户通过利用代理服务器绕过互联网审查法律。这个扩展在Chrome网络商店有超过80万的安装。

Extension ID: mjnbclmflcpookeapghfhapeffmpodij

Name: UltraSurf Security, Privacy & Unblock VPN

Browser: Chrome

安装后，这个扩展改变受害者浏览器的默认搜索URL的为smartwebfinder[.]com。研究人员在过去也发现了一些扩展，将默认搜索引擎改为“smartwebfinder”。

用户搜索经过多次重定向，最终结果将通过必应搜索引擎显示。这个扩展创建多个重定向，导致显示搜索结果的延迟。下图显示了这些重定向

这个扩展需要遵循浏览器的权限来访问chrome的内置api:

webRequest: 提供chrome扩展访问。webRequest API用于观察和分析流量，并可以拦截、阻塞或修改流量中的请求。

storage:提供对chrome的扩展访问。存储API。

proxy:授予扩展访问chrome。代理API

当浏览器上每次搜索操作时，这个扩展可以会在一个新选项卡中重复多次打开“ultrasurfing.com"，并通过不必要的消耗资源而降低系统的运行速度。

扩展使用chrome.tabs.create()方法来创建一个新的选项卡。下图显示了使用唯一的TabID创建新选项卡并打开ultrasurfing[.]com的代码

Hijacker Plugin 3

根据描述，Internet-Start声称可以替换用户当前的搜索结果，并将搜索查询的结果转换为更方便的格式。

下图显示了安装量超过100万的Chrome扩展。

Extension ID: llcdellnofncikmhimjdbkdjgpmcjbik

Name: Internet-Start

Browser: Chrome

安装后，这个扩展改变您的默认搜索引擎为internet-start[.]net。这个扩展声称有多种功能。然而，我们并没有观察到其他功能。该扩展声称可以阻止广告，但它显示的结果中却包含了其他与用户输入的搜索关键字或用户情绪相关的广告。

在我们的分析中，发现该扩展试图收集用户数据，以创建有针对性的广告。这个扩展将流量重定向到Yandex指标，由Yandex提供的基于web的分析服务，跟踪和报告网站流量。

它还使用AdSense，使开发商能够产生广告收入。下图显示了搜索活动期间扩展的网络活动。

总结

Web扩展在所有最流行的浏览器中广泛使用，使它们成为将用户重定向到恶意网站的主要载体。劫机者还可以用来监视用户，并执行广告活动来创收。

扩展开发人员还可以将用户数据出售给第三方以获得经济利益