事件起因

在网上搜索资料的时候，遇到一个奇怪的网页，它试图强迫我下载一些可疑的浏览器扩展。

该网页自动以全屏模式显示，这真的很别扭。

上面的界面显示的是法语。一旦安装，它会在http://opurie[.]com/thank.php?pubid=&clickid=randomdata=&country=FR&n=w2 页面上显示一个伪造的致谢消息。

显然，这是一个被感染的WordPress网站，它使用了一些黑帽SEO技术，在Google搜索引擎获得了排名靠前的结果，页面上内容大多是从Twitter上粘贴的。

在Windows系统上的C:\Users\<Your_User_Name>\AppData\Local\Google\Chrome\User Data\Default\Extensions\. 目录下，可以找到插件的源代码（只是一些HTML和JS脚本）。数据的默认扩展名。文件夹名称是安装的插件的IDs，图上所示的 名为“Opurie”的插件的ID是：mcgibaolmjnmcmfofkfbacdmnejmdomn。

源码分析

Chrome插件使用manifest.json文件描述应用程序的权限。让我们看看这里面有什么：

上图可知，这个插件申请了很多权限！根据Chrome开发者文档，该插件拥有的功能包括：使用API来观察和分析通信流量；拦截、阻塞或修改in-flight的请求；查询和修改所有站点的cookies（http://*/* & https://*/*）。我很奇怪为什么通配符的权限可以不经过手动审查批准而自动执行。本文暂时不讨论这个话题。总而言之，该插件会加载一个名为background.js的JavaScript文件，代码经过了模糊／压缩处理。

还原之后，你会看到它的结构。

插件的恶意动作

那么这个插件的邪恶之处在哪里呢？

分析发现它将拦截所有来自Google或Bing的搜索，随着你提供的关键词（明文的）将搜索结果重定向到startupfraction[.]com。我猜想攻击者这样做的目的是为了获得更多的流量，根据你的关键字进行重定向，可能为您提供更多的广告。

在Gooogle上搜索“this is a test”，观察HTTP流量如下图所示：

第一个请求

第二个请求

我是今天早上偶然发现了这个恶意的扩展，还没有机会深入研究它。在这里把它的相关信息分享出来，希望可以挖掘出更多的欺诈行为。

IOC

第一阶段

www.employmentskillscenter[.]org/84d5/hareov.php
www.facioconsulting[.]in/c5c7/hareov.php
www.parkwestceramics[.]com/624082/hareov.php

恶意插件的位置

https://chrome.google[.]com/webstore/detail/opurie/mcgibaolmjnmcmfofkfbacdmnejmdomn

欺诈网站

startupfraction[.]com
search.feedvertizus[.]com
go.querymo[.]com
opurie[.]com