专注于武汉中小企业服务解决方案提供商

电脑维修、布线、安防监控、数据恢复、采购、回收

所属分类 > 家电维修 > 正文

Chrome恶意插件:你的数据和机器都会在我手上 (什么是恶意插件)

编辑:rootadmin
Chrome浏览器给我们带来了很大的方便,但是我们在享受便捷的同时,有没有想过:恶意插件正潜伏在我们的浏览器里,随时会窃取我们的个人信息……背景

整理分享Chrome恶意插件:你的数据和机器都会在我手上 (什么是恶意插件),希望有所帮助,仅作参考,欢迎阅读内容。

内容相关其他词:chrome插件被拦截,谷歌浏览器插件已被阻止,谷歌浏览器插件已被阻止,什么叫恶意插件,chrome恶意插件 移动游戏自动打开网页,chrome插件被阻止,chrome恶意插件 移动游戏自动打开网页,chrome恶意插件 移动游戏自动打开网页,内容如对您有帮助,希望把内容链接给更多的朋友!

恶意软件感染链安全公司Radware在其客户中检测到一款零日恶意软件,它通过Facebook上的链接进行传播,并滥用GoogleChrome扩展程序('Nigelify'),执行凭证窃取、加密、点击欺诈等*作来感染用户。自年3月以来,该恶意软件已经在全球范围内感染了超过万名用户。感染过程由于最初的Nigelify使用程序将图片替换为“NigelThornberry”,并且导致大部分感染,Radware将其称为恶意软件“Nigelthorn”。恶意软件将受害者重定向到一个虚假的YouTube页面,并要求用户安装Chrome扩展程序来播放*。

伪YouTube页面一旦用户点击“添加扩展”,恶意扩展就会被安装,机器成为僵尸网络的一部分。恶意软件基于Chrome,在Win和Linux上运行。而且,这一活动只针对Chrome浏览器,不运用Chrome的用户不会受到威胁。绕过Google使用程序验证工具*纵者创建了合法扩展的副本,并注入一个简短的混淆恶意脚本来启动恶意软件*作。

(左边)合法版本,(右边)恶意版本Radware认为,这样做是为了绕过谷歌的扩展验证检查。到现在为止,研究小组已经观察到其中的7个恶意扩展,其中4个已经被Google的安全算法识别和阻止。Nigelify和PwnerLike保持活跃。

已知扩展程序恶意软件一旦在Chrome浏览器上安装了扩展,就会执行恶意JavaScript(参见下文),从C2下载初始配置。

从C2获得的配置文件然后将部署一组请求,每个请求都有自己的目的和触发器。以下是通讯协议。Chrome恶意插件:你的数据和机器都会在我手上 (什么是恶意插件)

恶意软件功能数据*该恶意软件主要用于窃取Facebook登录凭证和Instagramcookie。如果在机器上登录(或者找到Instagramcookie),它将被发送到C2。

然后将用户重定向到FacebookAPI以生成访问令牌,如果成功,该令牌也将被发送到C2。Facebook传播生成经过身份验证的用户的Facebook访问令牌,并开始传播阶段。恶意软件为了将恶意链接传播到用户的网络,而收集相关的帐户信息。访问C2路径“/php3/doms.php”并返回到随机URI。例如:

这个链接有两种方式:一种是通过FacebookMessenger发送的消息,另一种是包含最多个联系人的标签的新帖子。一旦受害者点击链接,感染过程再次启动,并将其重定向到一个相似Youtube的网页,该网页需要一个“插件安装”来查看*。加密恶意软件下载的另一个插件是一个加密工具。攻击者正在运用公开的浏览器挖掘工具,使受感染的机器开始挖掘加密货币。JavaScript代码是从包含组控件和矿池的外部网站下载的。Radware注意到,在过去几天里,该小组试图挖掘三种不一样的*(Monero,Bytecoin和Electroneum),这些都是基于允许通过任何处理器进行挖掘的“CryptoNight”算法。Radware观察到的矿池:

加密持久性该恶意软件运用多种技术来保持计算机上的持久性,并确保其在Facebook上的活动是持久的。1.如果用户试图打开“扩展”选项卡以删除扩展,恶意软件将关闭该选项卡并阻止删除。

2.恶意软件从C2下载URIRegex,并阻止试图访问的用户。以下链接展示了恶意软件如何试图阻止访问看起来像是Facebook和Chrome的清理工具,甚至阻止用户编辑、删除帖子和发表评论。

YouTube欺诈一旦下载并执行YouTube插件,恶意软件就会尝试访问C2上URI“/php3/*.php”来接收命令。检索到的指令可能是观看、喜欢或评论*,也可以订阅页面。Radware认为,该组织正试图从YouTube上获利,尽管还没有看到任何*点击率很高。

C2指令的一个例子恶意软件防护零日恶意软件往往利用复杂的规避技术,绕过技能团队研究的现有保护措施。尽管有几种安全搞定方案,Radware在一个保护良好的网络中发现的并未发现Nigelify。Radware的机器学习算法分析了该大型组织的通信日志,关联了多个指标,并阻止了受感染机器的C2访问。随着这种恶意软件的传播,该组织将继续寻找利用被盗资产的新方式。这些组织不断制造新的恶意软件和变异,以绕过安全控制。

Radware如何绕过安全Web*识别恶意软件的搞定方案体系

妥协指标建议尽管google已经删除了上面列出的所有扩展,但是如果你已经安装了其中的任何一个,那么建议您立即卸载它,并更改您的facebook、instagram以及其他您运用相同凭证的帐户的密码。由于Facebook垃圾邮件活动非常普遍,所以建议用户在点击通过社交网站平台提供的链接和文件时保持警惕。

标签: 什么是恶意插件


本文链接地址:https://www.iopcc.com/jiadian/50751.html转载请保留说明!

上一篇:关于CPU主板选购的6个错误认知! (cpu 主板 性价比)

下一篇:笔记本性能被限制了?这两堵看不见的“墙”你了解吗? (笔记本性能被限制)

推荐内容:

东芝首发UFS 3.0闪存:2.9GB/s读写速度秒杀超极本! (东芝ufs2.1)

东芝首发UFS 3.0闪存:2.9GB/s读写速度秒杀超极本! (东芝ufs2.1)

不过考虑到人们对速度的极致追求,这一标准显然不够。近日,知名闪存厂商东芝宣布,全球首个符合UFS3.0标准的闪 ...

三洋SPW-V253DYH5 空调器开机运行,室外机运转但不制热的维修 (三洋洗衣机全国统一服务热线)

三洋SPW-V253DYH5 空调器开机运行,室外机运转但不制热的维修 (三洋洗衣机全国统一服务热线)

,室外机运转但不制热。案例分析此机开机后室外机风机、压缩机均工作,但很长时间室内机不送风,用手摸粗管没 ...

最新消息称,iPhone 12与部分Qi无线充电器不兼容? (apple 最新消息)

最新消息称,iPhone 12与部分Qi无线充电器不兼容? (apple 最新消息)

兼容,可能是由于新设备内部的磁铁、对准问题或其他*充电协议的内部变化,详细的跟随本文一起来了解一下吧。整 ...

win7系统软件默认安装位置怎么修改? (win7如何设置默认软件)

win7系统软件默认安装位置怎么修改? (win7如何设置默认软件)

户发现自己安装软件的时候老是安装到了*盘,导致自己电脑的*盘空间不足了,那么这个情况要怎么去进行保存位置的 ...

如何正确保养手机? (如何正确保养手机)

如何正确保养手机? (如何正确保养手机)

位器过不了多长时间就容易损坏,到底是哪里不对呢?不用担心,今天小编就来带大家一块看一下如何正确保养定位 ...

年度最强全面屏旗舰机对比,性价比最高的竟然是小米mix2 (2020年全面屏手机排行榜)

年度最强全面屏旗舰机对比,性价比最高的竟然是小米mix2 (2020年全面屏手机排行榜)

除了更窄边框外,更高的屏占比也是消费者所追求的。小编为大家带来了今年最热的4款旗舰全屏*“iPhoneX”,“小米 ...

最后一波ios11降级战略,再不降级就晚了 (2021年苹果降级)

最后一波ios11降级战略,再不降级就晚了 (2021年苹果降级)

来了,笔者也优先的体验了一把。确实在原有的ios.3.3基础上没有多大的变化,和网上爆料的基本一致。因此也就没有 ...

笔记本主板上电子元器件识别——二极管、三极管、MOS管 (笔记本主板上电 自动加电)

笔记本主板上电子元器件识别——二极管、三极管、MOS管 (笔记本主板上电 自动加电)

许许多多的电子元器件电阻、电容、二极管等等,它们在电脑工作中起着非常重要的作用,缺一不可,而且主板上这 ...

Win7无法修改文件夹属性 (win7无法修改文件名)

Win7无法修改文件夹属性 (win7无法修改文件名)

好几次都没出过问题):当安装软件时.发现Win.RAR不能释放.提示无法创建文件夹.再看发现该文件夹属性为“只读” ...

超级LED闪光电路 (led闪光电路图)

超级LED闪光电路 (led闪光电路图)

),希望有所帮助,仅作参考,欢迎阅读内容。内容相关其他词:led闪光电路原理,led闪光灯电路的设计与制作,超级led闪 ...

Copyright © 2023 武汉电脑维修 All Rights Reserved.

鄂ICP备2023003026号

免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢!邮箱: opceo@qq.com