唉低 -千年之夏- 批万 姆咪板
废文 [资安] 恶意Chrome、Firefox扩充程式强迫安装,而且狡猾地不给用户移除
嘻嘻 Sun Jan 01 00:00:00 1990
───────────────────────────────────────
--
当心! 恶意Chrome、Firefox扩充程式强迫安装,而且狡猾地不给用户移除
https://www.ithome.com.tw/news/120836
Malwarebytes发现在Chrome、Firefox上出现恶意扩充程式,以强迫安装的方
式植入用户的电脑中,而且以相当狡猾地以种种手法不让用户轻易移除,经
揭露後Chrome的恶意扩充程式已被下架。
浏览器扩充程式已然成为新的安全问题。安全公司Malwarebytes*分别发现
Chrome与Firefox有恶意扩充程式安装後竟会使用诡计不让用户移除。
在Chrome上的恶意扩充程式称为Tiempo en Colombia en vivo。它是该公司
2016年发现强迫安装Chrome扩充程式的一种手法而流传。在这种手法下,网
站被植入一种恶意JavaScript程式,会在用户不小心造访网站时跳出对话框
,要求使用者如果要离开网站就必须安装扩充程式。一般人会按「取消」,
这时它会再显示「避免本页再产生其他对话框」的对话框。通常使用者会按
下「OK」。不过这会让用户被导向全萤幕模式,并看见自己正要安装的扩充
程式。
Tiempo en Colombia en vivo一旦被安装到电脑上,它会使Chrome出现异常
行为。例如研究人员Pieter Arntz在测试机器上发现它会自动点击十多部
YouTube影片,似乎要冲刺点阅率。
但当用户想要移除它时会发现难上加难。首先,它不让用户连结
chrome://extensions/,即可一览Chrome扩充程式并移除的页面,而是导向
chrome://apps/?r=extensions。在这个页面上自然找不到这个恶意扩充程式
。封锁Chrome中的JavaScript也没有用,因此这个方法只适用於外部网页,
对本机上的网页无效。而在Chrome下执行「–disable-extensions」指令也
没用,因为Chrome会显示它没有扩充程式。
唯一方法是修改扩充程式资料匣中的1499654451774.js档名。此後重新启动
Chrome即会在chrome://extensions/显示所有扩充程式,包括Tiempo en
Colombia en vivo,但因为其JavaScript被重新命名,因此会显示该档案已
损毁。但这时即可将之删除。(来源:Malwarebytes)
https://blog.malwarebytes.com/wp-content/uploads/2018/01/ChromeRenamedJS.png
Malwarebytes研究人员也在Firefox发现有类似手法的扩充程式,名为
PUP.Optional.FFHelperProtection。但它是以网站上的广告轮播程式推送出
Firefox手动更新的诈骗广告,诱骗使用者下载。安装後它会在用户搜寻扩充
程式页时,以background.js寻找URL的字串,然後将之关闭,让使用者想移
除也找不到。
不过这个扩充程式比较容易对付。只要在启动Firefox时按着Shift键,按下
「以安全模式启动」的选项。在安全模式的Firefox下,所有扩充程式都会现
形,让使用者得以手动移除。而且如果Firefox因为JavaScript,对话框一再
跳出而动弹不得的话,只要利用「工作管理员」即可关闭Firefox。
Tiempo en Colombia en vivo在上周四都可在Chrome Web Store上下载。
Malwarebytes公布并由Ars Technica报导後**,Google已经将之移除。
PUP.Optional.FFHelperProtection则并未在Firefox 扩充程式商店中发现。
由於这两款恶意扩充程式可能是利用强迫安装法安装到用户端,有可能被趁
虚而入。因此安全公司建议不要下载来路不明的扩充程式,并使用广告封锁
工具。最好方法是详细阅读任何扩充程式的使用条款。
这是最新发现的恶意Chrome扩充程式。近年来Chrome扩充程式常被骇客用来
散布恶意广告程式***。本月又有资安业者分别发现****Chrome Web Store
上有Chrome扩充程式被植入采矿程式*****或点击诈骗程式,消息曝光後
Google才将之移除。
*
https://is.gd/D166uh
**
https://is.gd/rVjvhb
***
https://is.gd/raD3Y9
****
https://is.gd/jjbKuD
*****
https://is.gd/ZXlgr3
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 89.212.211.14
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1516860330.A.FA0.html
※ 编辑: kaoh08 (89.212.211.14), 01/25/2018 14:25:14
1F:推 ltytw: 不觉得现在的javascript过份强大了吗? 想当年的javascript 01/26 14:40
2F:→ ltytw: 就是只能做一些基本的 01/26 14:40
3F:推 Wcw5504: 以前用activex跟napapi的时候更严重 现在已经算好了 01/26 16:08
4F:推 Toge: 没办法,漏洞是一定有的,看有没有人要钻而已 01/26 17:32
5F:推 Shauter: W大的那两个是先天做的滥 JS则是强大 很大的差别 01/27 00:17
6F:推 eight0: 除了全萤幕,dialog 和重新导向都是十年前 JavaScript 就 01/27 11:33
7F:→ eight0: 能做到的事情 01/27 11:33