日常在使用浏览器时,我们经常会安装许多插件来增进浏览器的便利性。在这篇文章中,我们将会分享了一个恶意的浏览器插件是如何对交易所/钱包的使用者进行攻击。
可疑的插件
接下来我们介绍今天的主角,一个叫做MultiLogin的可疑插件,功能大致上可以提供同时多重登入网站的插件。
在进行分析前,我们先简单介绍一下插件的结构。通常一个插件基本上由几个档案组成:
manifest.json : 一个json格式的清单文件档案,内容决定了使用者看到的插件样貌和执行的程序。 几个会被执行的html或是js档案
那么接下来让我们看看他的程序代码,我们先从manifest.json的内容看起…
首先是权限列表
看起来要了蛮多的权限,不过比较了一下其他同类的插件,似乎也都是Multi login这样的功能可能会用到的。
再来是content_scripts
这段是网页打开时,会执行js修改网页内容的区块。
既然里面提到了content.min.js,那我们就来看看这只js实际做了什么。
果然发现了几个奇怪的片段…
看起来有个以日期为版本编号的JPG连结
分析恶意的js程序代码
下面这段是恶意程序代码进行比对和置换的地址清单
更多…
积极更新的纪录
版本更新相当频繁,2020年度已经更新了至少5次。
地址清单
前文所出现的地址清单,都是可以跟着jpg里潜藏的js进行更新。
防毒软件检出率
截至2020/12/22为止,检出率为0/60。
架构
动态取得恶意程序本体来规避侦测,另外也使用CDN服务来避免后端中继站承受不住大量使用者的存取。
如何影响交易所/钱包
显而易见的,这些恶意的插件可以轻易的对任何提供虚拟货币地址的服务进行有效攻击,无论是任何交易所或钱包服务使用者都是他们潜在的攻击目标。
如何避免和自我检查
在大量使用浏览器作为上网媒介的时代,完全不去使用插件是不太可能的,然而有大量的恶意程序正潜藏在这些插件之中,以不同的形式来危害使用者。哪怕今天使用的是开放原始码的插件,也有可能存在开发者帐号被盗/与原始码不一致的问题。以下是我们的建议:
使用有敏感资讯或是财务资讯的网站时,应避免载入任何的插件。例如: 使用无痕模式并停止所有插件载入, 或是使用Firefox的安全模式。 不再使用的插件,请将它移除。避免在未来不预期的更新中成为恶意插件的受害者。 请记得时常关注资安新闻,避免已经成为受害者而不自知。 如果您怀疑您已经成为受害者,您可以参考我们的FAQ[3]进行处理。后记
本次分享的MultiLogin插件已被Chrome Web Store下架,但在今天你仍然可以搜寻到大量的备份网站,教学文章,甚至是开发推荐。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
微信咨询
