近日,網絡安全公司 ReasonLabs 發現了三款偽裝成虛擬私人網絡(VPN)的惡意 Chrome 擴展程序。這些擴展程序被揭露為瀏覽器劫持工具、返現騙局工具和數據竊取器,已經被下載了 150 萬次。
隱藏於盜版遊戲
ReasonLabs 表明,這些惡意擴展是通過隱藏在盜版遊戲中的安裝程序傳播的,這些遊戲包括《GTA》、《刺客教條》和《模擬市民 4》,並通過 Torrent 種子網站分發。在 ReasonLabs 的通報下,Google 已從 Chrome 網上應用店中移除了這些「惡意插件」,但這些擴展程序已經累計下載了 150 萬次。
受影響的惡意擴展包括 netPlus(安裝量 100 萬次)、netSave 和 netWin(安裝量 50 萬次)。這些感染主要發生在俄羅斯和烏克蘭、哈薩克斯坦、白俄羅斯等國家,顯示該活動似乎針對俄語使用者。
偽裝成 VPN
ReasonLabs 發現了超過一千個不同的種子文件,這些文件用於傳播惡意安裝程序,該程序是一個大小介於 60MB 至 100MB 的 Electron 應用。VPN 擴展的安裝是自動且強制的,發生在註冊表級別,無需用戶參與或在受害者端採取任何行動。最終,安裝程序會檢查感染機器上的防病毒產品,然後分別在 Google Chrome 和 Microsoft Edge 上安裝 netSave 和 netPlus,涵蓋兩種使用情況。
惡意擴展的偽裝手法
這些惡意擴展使用具有一定功能的逼真 VPN 用戶界面和付費訂閱選項來營造真實性感。這一報告凸顯了網絡瀏覽器擴展程序周圍巨大的安全問題,許多擴展程序被高度混淆,使得難以確定它們的行為。
安全建議
鑑於此,建議用戶定期檢查瀏覽器中安裝的擴展程序,並在 Chrome 網上應用店查看新的評論,以了解其他用戶是否報告了惡意行為。
