借殼攻擊：殭屍網路利用Chrome擴展程序傳播

趨勢科技網路安全解決方案團隊又發現了一個新的殭屍網路，它通過Chrome擴展程序提供，已影響了成千上萬的用戶。目前研究人員已將該惡意擴展程序被定義為為BREX_DCBOT.A。黑客利用這個殭屍網路把廣告和加密貨幣挖掘代碼注入受害者將要訪問的網站，由於該攻擊使用了最古老的命令與控制(C&C)域名，所以研究者將這個特殊的殭屍網路命名為Droidclub。

除上述攻擊特點外，Droidclub還濫用合法的會話重放庫來竊取用戶的隱私。這些腳本會被注入用戶訪問的每個網站。這些會話重放庫是用於重放用戶對網站的訪問，以便可以看到用戶看到的內容，以及用戶輸入到設備中的內容等等。雖然，之前其他研究人員也提出了這些會話重放庫可能被攻擊者利用，但都沒有找到實證，但這次Droidclub的出現，坐實了這種攻擊的可能。

攻擊者用混合惡意廣告和社交工程的方法，連哄帶騙的讓用戶安裝這些惡意的Chrome擴展程序。目前，研究者在官方的Chrome網上商店中共發現了89個Droidclub擴展。根據這些擴展的頁面進行分析，研究者估計最多有423992個用戶受到影響。目前，Google除了從官方Chrome網上商店刪除這些擴展外，C＆C伺服器也已從Cloudflare中刪除。

下圖顯示了Droidclub的整體特點：

Droidclub感染流程

傳播過程

Droidclub通過惡意廣告和社交工程的組合來進行傳播，惡意廣告將被用來顯示虛假的錯誤消息，如果用戶被誘導，那他們就會中招，把這個惡意擴展下載到他們的瀏覽器中。

用於安裝Droidclub擴展的虛假錯誤消息

如果用戶點擊「確定」，Chrome瀏覽器將在後台下載普通的Chrome網上應用商店的擴展程序。然後詢問用戶是否要繼續安裝擴展，同時列出擴展所需的許可權。

該擴展一旦安裝，就會首先檢查C＆C伺服器是否在線，然後下載任何需要的配置代碼，並向C＆C伺服器進行報告，這個過程每五分鐘重複一次。

仔細看，你會發現這些擴展本身並無攻擊特點。

Droidclub擴展

惡意行為的運行

感染Droidclub的瀏覽器會定期彈出一個顯示網路廣告的標籤， URL和出現頻率都會作為C＆C伺服器配置信息的一部分被發送。目前，這種惡意軟體會被用來顯示惡俗的廣告（如色情網站）或有用的工具包。 Droidclub背後的攻擊者可能會利用這個殭屍網路人為地提高某些廣告的展示次數，從而增加觀看次數和收入。

Droidclub配置文件

Droidclub也可以篡改用戶將要瀏覽的網站內容，該擴展目前已被黑客注入各種Javascript代碼，其中一個就是通過向特定關鍵字添加外部鏈接來修改這些頁面。這些鏈接也適用於廣告攻擊，原始網站中的廣告也會被攻擊者自己的廣告所替換，代碼會通過搜索與原始廣告中相匹配的IFRAME尺寸來實現。

注入的惡意腳本

Yandex Metrica（提高網路推廣效果的免費網站分析系統）的一個Javascript庫也被注入受害者瀏覽器的訪問網站，不過原始網站沒有被修改。這是一個合法的網站分析圖書館，網站所有者可以使用它來評估訪問者如何使用他們的網站。這是一個合法的網站分析庫，網站所有者可以用來評估訪問者如何使用他們的網站。這個庫啟用了一個名為會話重放的功能，它可以記錄各種用戶操作，如滑鼠點擊、滾動和擊鍵。

不幸的是，這是一個非常強大的攻擊利用工具，用它就可以竊取用戶的隱私。比如利用擴展名和庫的組合就可以竊取用戶輸入的數據，如姓名，信用卡號碼，CVV號碼，電子郵件地址和電話號碼。由於該庫在設計之初是沒有獲取密碼功能的，所以黑客不會盜取這些密碼。點此會話重放如何記錄用戶行為

在研究者的研究過程中，他們發現了以前的Droidclub版本仍然在野外活躍。當它與同一組C&C伺服器通信時，實現和C&C命令格式不同。根據上傳到Chrome網上商店的日期，研究者發現，這些是2017年4月創建的早期版本（其他版本是2017年11月創建的）。

這箇舊版本的主要區別之處就是添加加密貨幣的方法不同，這些版本還將Coinhive（一個提供惡意JS腳本的網站平台） 加密貨幣挖掘代碼注入訪問過的網站，從而將瀏覽器變成門羅幣礦工。儘管當前的最新版本沒有被注入這樣的代碼，但門羅幣代碼仍然可以正常運行，並且可以在將來重新被插入。

帶有門羅幣代碼的Droidclub的早期版本

持久性攻擊特點

Droidclub還有一個非常巧妙的設計，就是當用戶在嘗試卸載和舉報惡意擴展時，會遇到更多困難，這也就使黑客達到了持久性攻擊的目的。如果擴展程序檢測到用戶正在嘗試舉報該擴展程序（通過檢查用戶是否正在訪問與一個正則表達式匹配的URL 「https://chrome.google.com/webstore/report/([a-z+])」 ），這樣用戶就會被重定向到黑客設置的擴展的介紹頁面。當用戶試圖通過Chrome擴展管理頁面（位於Chrome://extensions/）來刪除擴展程序時，該擴展就會將用戶重定向到一個虛假頁面，從而讓用戶誤以為該擴展已被卸載，但其實它仍保留在用戶的瀏覽器中。

假的擴展管理頁面

緩解方案

面對這種新式的殭屍網路攻擊，研究者建議可以通過使用網頁攔截服務或腳本攔截器來阻止這些惡意網站的顯示。此外還需提高安全意識，對虛假錯誤消息（如本次攻擊中所看到的）提高辨別力。

系統管理員也可以選擇設置禁止用戶在其系統上安裝擴展程序的Chrome策略，這樣也可以起到緩解，因為這樣惡意擴展將無法在受影響的系統上生成。

目前，研究者已經聯繫了Google和Cloudflare，且Google已經從Chrome網上商店中刪除這些網站，Cloudflare也從服務中刪除了C＆C伺服器。以下是研究者收到的Google的回復：

詳細的IOC，請點此,其中包含各種Droidclub擴展名單以及所用域。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！