來自美國網絡安全公司 ICEBRG 的安全研究人員發現了四款 Chrome 擴展,其中包含可通過官方 Chrome 網上應用店獲得的惡意代碼。
據研究人員稱,這四種 Chrome 擴展旨在允許攻擊者以 Javascript 代碼的形式向用戶的瀏覽器發送惡意命令,但攻擊者只能通過在後臺加載網站並點擊廣告來執行點擊欺詐。
這四個擴展名的名稱分別是:
Change HTTP Request Header(ppmibgfeefcglejjlpeihfdimbkfbbnm)
Nyoogle - Custom Logo for Google(ginfoagmgomhccdaclfbbbhfjgmphkph)
Lite Bookmarks(mpneoicaochhlckfkackiigepakdgapj)
Stickies - Chrome's Post-it Notes(djffibmpaakodnbmcdemmmjmeolcmbae)
本文發佈之時,這些擴展依然可以在 Chrome 網上應用店中獲得。
當 ICEBRG 檢測到惡意行爲時,總共有超過 50 萬用戶在使用這些擴展,並通知了荷蘭國家網絡安全中心(NCSC-NL),美國計算機應急就緒小組(US-CERT)和 Google 安全瀏覽運營團隊。
從 Chrome 網上應用店中刪除了四個擴展程序中的三個擴展程序,但許多用戶仍然在其瀏覽器中加載了擴展程序。
該公司已經發布了關於擴展的惡意行爲的詳細報告,希望用戶花時間檢查瀏覽器並刪除其計算機的惡意擴展。ICEBRG 表示這四個擴展具有類似的策略,技術和程序(TTP)。
