如何利用Chrome扩展执行恶意操作

导语:用恶意扩展挖矿这么流行了?最近的Chrome有点奇怪,动不动Chrome就占用了20%-25%的CPU。看到有占用CPU一直比较高的Chrome进程时,我只能想到是挖矿了,一定要小心啊!!

360截图16410124405257.jpg

用恶意扩展挖矿这么流行了?最近的Chrome有点奇怪,动不动Chrome就占用了20%-25%的CPU。看到有占用CPU一直比较高的Chrome进程时,我只能想到是挖矿了,一定要小心啊!! 

由于Chrome是最广泛使用的web浏览器,所以每天都会有攻击者来琢磨着如何开发更高级的Chrome恶意扩展。无论是利用流行的扩展程序来发布Chrome广告插件、劫持搜索查询,还是注CoinHive挖矿程序,都能很明显地发现用恶意扩展挖矿已经很流行了。

今天我要在本文中介绍的这个Chrome扩展,叫做Ldi,这个Ldi扩展将恶意行为又提高到了一个新的水平。其原因有二:一是Ldi扩展在将CoinHive挖矿程序加载到受害者的浏览器时,占用了100%的CPU;二是Ldi扩展还使用受害者的Gmail帐户为使用Freenom的攻击者注册了免费域。

通过虚假网站进行传播

Ldi扩展程序通过不断提示的JavaScript警报来诱骗用户进行安装,和许多钓鱼攻击一样,这个假警报会提示用户他们的扩展程序要进行更新了,需要进行点击该警报才能进行安装更新。不过当用户点击警报打开时,会发现该页面是空的,这时候,用户会选择把它关闭,不过此时Ldi扩展程序已经开始运行了,该页面会自动打开Ldi扩展程序所在的Chrome 网上应用店(Chrome Web Store)的页面。可以从下图中看到,所显示的Chrome网上应用店页面几乎是空的,只是有一段 “想知道你的主页是否与Mac兼容?请检查Ldi”的文字描述,不过目前此扩展程序已从Chrome网上应用店中删除了。

1507966961522391.jpg

当我进一步挖掘该传播途径时,发现它已经没有什么可以往下拓展的内容了。

使用Ldi扩展的结果

Ldi的扩展包含两个名为jarallax.min.js和bootstrap-filestyle.min.js的JavaScript文件,如下所示。

1507966967804940.jpg

当我查看bootstrap-filestyle.min.js.script文件时,我注意到Ldi扩展的开发人员在文件的末尾添加了一段经过混淆的JavaScript,每当浏览器启动时,该部分就将执行。

1507966977691069.jpg

另外,bootstrap-filestyle.min.js.script文件还包括了另一个经过混淆的脚本,每当浏览器启动时,它会被解码和执行。一旦该脚本开始执行,脚本就将连接到URL http://fbcdnxy.net/fgelohmmdfimhmkbbicdngnpeoaidjkj/geo-location.json?cache=[timestmap]。该网站将响应另一个应该由扩展执行的脚本。这意味着,扩展会通过传播不同的脚本来任意改变其功能。

目前,返回的执行的远程脚本是http://fbcdnxy.net/coobgpohoikkiipiblmjeljniedjpjpf/remote-postal-code.json。此脚本是Ldi扩展程序的核心,负责执行各种恶意活动,例如通过Gmail帐户加载Coinhive和注册域名。

1507966989164592.jpg

一旦浏览器启动,上述恶意脚本被执行。

恶意执行过程

首先,扩展将连接到Facebook。为什么这么肯定呢?因为除了指向Facebook的代码,我还没有看到其它什么链接代码。我猜测,这可能是通过Facebook Messenger传播扩展的。

从下图可以看到,Ldi扩展现在正在快速加载Coinhive,以便浏览器开始为开发人员挖掘Monero(门罗币)。

5.jpg

接着,Ldi扩展开始使用用户的Gmail帐户来注册域名。首先,通过内容发布(POSTing),把Freenom.com链接到URL https://my.freenom.com/includes/domains/fn-available.php,这个URL会马上检查随机命名域和各种顶级域名是否可用于注册。在下图的这个例子中,该URL正在检查字符串“jihafivagobumini”是否可用。

1507967014804442.jpg

一旦检索到可用的域选项,它将使用URL https://my.freenom.com/includes/domains/fn-additional.php将每个域添加到购物车。

1507967054797456.jpg

添加域后,它启动结帐过程,但需要一个电子邮件地址和信息来注册域。要获取电子邮件地址,这个域会连接到URL https://mail.google.com/mail/u/0/h/1pq68r75kdvdr/?v=lui,它将登录的Gmail帐户切换到Gmail HTML视图,这样就可以检索登录用户的电子邮件地址。如果用户未登录Gmail,则此扩展程序便无法注册域。

最后,这个注册的域会连接到https://randomuser.me/api/0.4/?randomapi,以生成可以在结帐期间使用的随机注册信息。

1507967064363951.jpg

现在,Ldi扩展有了电子邮件地址和随机注册信息,便可以开始进行Freenom的结帐。按照常理,在注册完成后,注册网站都会向受害人进行电子邮件地址的确认。但是,Ldi扩展程序很聪明,因为它已经提前检查了Gmail帐户并自动为用户打开了验证链接。

这样扩展开发人员便会生成4个域,而且它们都是用同一个用户的Gmail地址注册的。另外,每次在Chrome中安装扩展程序时都会重复此过程。

1507967072136503.jpg

在域名注册成功后,Ldi扩展会将这些信息发回给位于http://fbcdnxy.net/的命令与控制服务器。

目前,虽然我还不知道这些域名是如何工作的,但可以确定的是它们可以很容易地用于传播恶意软件,进一步扩展Ldi扩展或网络钓鱼攻击。在实施攻击时,每个受害者会在不知情的情况下为开发人员注册4个域,并且一些恶意扩展具有数百个用户,这样算下来攻击者使用的恶意域名将会数不胜数。

IOCs

网路流量:

http://fbcdnxy.net/
http://fairexttrades.com/
https://my.freenom.com/
https://www.facebook.com/
https://coinhive.com/
https://mail.google.com/mail/
https://randomuser.me/

哈希:

e942e5016080cc69d45e8312bedbd5d983e9e310e9ee459366e90ea4c7c1a784
源链接

Hacking more

...