Chrome恶意插件:你的数据和机器都会在我手上 (什么是恶意插件)
整理分享Chrome恶意插件:你的数据和机器都会在我手上 (什么是恶意插件),希望有所帮助,仅作参考,欢迎阅读内容。
内容相关其他词:chrome插件被拦截,谷歌浏览器插件已被阻止,谷歌浏览器插件已被阻止,什么叫恶意插件,chrome恶意插件 移动游戏自动打开网页,chrome插件被阻止,chrome恶意插件 移动游戏自动打开网页,chrome恶意插件 移动游戏自动打开网页,内容如对您有帮助,希望把内容链接给更多的朋友!
恶意软件感染链安全公司Radware在其客户中检测到一款零日恶意软件,它通过Facebook上的链接进行传播,并滥用GoogleChrome扩展程序('Nigelify'),执行凭证窃取、加密、点击欺诈等*作来感染用户。自年3月以来,该恶意软件已经在全球范围内感染了超过万名用户。感染过程由于最初的Nigelify使用程序将图片替换为“NigelThornberry”,并且导致大部分感染,Radware将其称为恶意软件“Nigelthorn”。恶意软件将受害者重定向到一个虚假的YouTube页面,并要求用户安装Chrome扩展程序来播放*。伪YouTube页面一旦用户点击“添加扩展”,恶意扩展就会被安装,机器成为僵尸网络的一部分。恶意软件基于Chrome,在Win和Linux上运行。而且,这一活动只针对Chrome浏览器,不运用Chrome的用户不会受到威胁。绕过Google使用程序验证工具*纵者创建了合法扩展的副本,并注入一个简短的混淆恶意脚本来启动恶意软件*作。(左边)合法版本,(右边)恶意版本Radware认为,这样做是为了绕过谷歌的扩展验证检查。到现在为止,研究小组已经观察到其中的7个恶意扩展,其中4个已经被Google的安全算法识别和阻止。Nigelify和PwnerLike保持活跃。已知扩展程序恶意软件一旦在Chrome浏览器上安装了扩展,就会执行恶意JavaScript(参见下文),从C2下载初始配置。从C2获得的配置文件然后将部署一组请求,每个请求都有自己的目的和触发器。以下是通讯协议。恶意软件功能数据*该恶意软件主要用于窃取Facebook登录凭证和Instagramcookie。如果在机器上登录(或者找到Instagramcookie),它将被发送到C2。然后将用户重定向到FacebookAPI以生成访问令牌,如果成功,该令牌也将被发送到C2。Facebook传播生成经过身份验证的用户的Facebook访问令牌,并开始传播阶段。恶意软件为了将恶意链接传播到用户的网络,而收集相关的帐户信息。访问C2路径“/php3/doms.php”并返回到随机URI。例如:这个链接有两种方式:一种是通过FacebookMessenger发送的消息,另一种是包含最多个联系人的标签的新帖子。一旦受害者点击链接,感染过程再次启动,并将其重定向到一个相似Youtube的网页,该网页需要一个“插件安装”来查看*。加密恶意软件下载的另一个插件是一个加密工具。攻击者正在运用公开的浏览器挖掘工具,使受感染的机器开始挖掘加密货币。JavaScript代码是从包含组控件和矿池的外部网站下载的。Radware注意到,在过去几天里,该小组试图挖掘三种不一样的*(Monero,Bytecoin和Electroneum),这些都是基于允许通过任何处理器进行挖掘的“CryptoNight”算法。Radware观察到的矿池:加密持久性该恶意软件运用多种技术来保持计算机上的持久性,并确保其在Facebook上的活动是持久的。1.如果用户试图打开“扩展”选项卡以删除扩展,恶意软件将关闭该选项卡并阻止删除。2.恶意软件从C2下载URIRegex,并阻止试图访问的用户。以下链接展示了恶意软件如何试图阻止访问看起来像是Facebook和Chrome的清理工具,甚至阻止用户编辑、删除帖子和发表评论。YouTube欺诈一旦下载并执行YouTube插件,恶意软件就会尝试访问C2上URI“/php3/*.php”来接收命令。检索到的指令可能是观看、喜欢或评论*,也可以订阅页面。Radware认为,该组织正试图从YouTube上获利,尽管还没有看到任何*点击率很高。C2指令的一个例子恶意软件防护零日恶意软件往往利用复杂的规避技术,绕过技能团队研究的现有保护措施。尽管有几种安全搞定方案,Radware在一个保护良好的网络中发现的并未发现Nigelify。Radware的机器学习算法分析了该大型组织的通信日志,关联了多个指标,并阻止了受感染机器的C2访问。随着这种恶意软件的传播,该组织将继续寻找利用被盗资产的新方式。这些组织不断制造新的恶意软件和变异,以绕过安全控制。Radware如何绕过安全Web*识别恶意软件的搞定方案体系妥协指标建议尽管google已经删除了上面列出的所有扩展,但是如果你已经安装了其中的任何一个,那么建议您立即卸载它,并更改您的facebook、instagram以及其他您运用相同凭证的帐户的密码。由于Facebook垃圾邮件活动非常普遍,所以建议用户在点击通过社交网站平台提供的链接和文件时保持警惕。标签: 什么是恶意插件
本文链接地址:https://www.iopcc.com/jiadian/50751.html转载请保留说明!