近期,360安全大腦監測到一款偽裝成「惠惠購物助手」的瀏覽器惡意拓展,通過雲控劫持了hao123、2345等在內的20多個網站,並在嗶哩嗶哩等多家網站中插入了「頭條部落」的新聞廣告,導致不少用戶在訪問瀏覽器時會自動跳轉到其他站點,嚴重影響了用戶的使用體驗,目前有超5萬台機器受到影響。
不過廣大用戶無需擔心,目前360安全衛士可全面攔截該惡意拓展的劫持攻擊,建議廣大用戶及時下載安裝360安全衛士保護電腦隱私及財產安全。
「混淆視聽」—採用極具迷惑性的偽裝 多方劫持牟利
通過對比發現,該「山寨」擴展和官方擴展相比,僅有版本號和擴展ID的不同,極大的誘惑性使得普通用戶很難分辨真假,對比圖如下所示:
此外,為迷惑視聽,該惡意擴展還在其代碼中進一步將所有JS文件均進行了混淆。360安全大腦經過去混淆分析後發現,該惡意擴展會劫持QQ、hao123、2345、天貓、京東、攜程、百度搜索、搜狗搜索、蘇寧、阿里巴巴精選在內的多家電商、搜索、導航網站,並在新聞頭條、嗶哩嗶哩、4399、江西新聞網等多家網站插入頭部廣告,以此牟取暴利。
在嗶哩嗶哩等網站中插入"頭條部落"廣告
「因地制宜」—不同網站不同方法 達成攻擊全覆蓋
值得一提的是,偽裝成「惠惠購物助手」的惡意擴展在劫持不同性質的網站時,使用了不同的劫持方法,比如在劫持QQ、2345、Hao123等網站時會通過hxxps://hao.815ff.com/api/goods/v1/get.script.core?v=20190705.01獲取劫持規則,並根據規則直接將其劫持到毒霸導航。
而在劫持天貓、京東、攜程、百度搜索、搜狗搜索、蘇寧、阿里巴巴精選等電商、搜索網站時,該惡意擴展使用的劫持規則卻額外地使用AES ECB模式進行了加密。當惡意擴展從服務端連結
hxxps://hao.815ff.com/api/goods/v1/get.goods.v2/?ua=[UserAgent]獲取劫持規則後,需先將其解密才能進一步根據規則實施劫持。
在劫持規則的加密算法中, padding操作方式為Pkcs7,加密所使用的密鑰為」 1234569982195557」,相關解密函數如下圖所示:
解密後的完整規則如下所示:
截至到目前,已有超過5萬用戶受到該惡意擴展影響,為避免此類劫持攻擊面積進一步擴大,360安全大腦建議廣大用戶做好以下防禦措施抵禦此類攻擊。
1、 及時下載安裝360安全衛士,並保證開啟,抵禦各類病毒木馬攻擊;
2、 當瀏覽器訪問自動跳轉到帶計費連結等異常廣告頁面時儘快使用安全軟體進行查殺清理;
3、 切記不要安裝來源不明的擴展程序,建議用戶選擇正規渠道如瀏覽器擴展中心或Chrome 網上應用店安裝擴展,以免自己的瀏覽器成為不法分子控制劫持的工具。
IOCs
2b44c4d9cfde2a261d87af3d5796547763055bca
擴展ID: jgpgbkoifojhkpddkmdaidbaljcocmmf
Urls
hxxps://hao.815ff.com/api/goods/v1/get.script.core?v=20190705.01
hxxps://hao.815ff.com/api/goods/v1/get.goods.v2/?ua=[UserAgent]
hxxps://tg.s4e54s.cn