鉴于谷歌Chrome的普及,看看这几天越来越多,毫无疑问。特别是,少于信誉良好的广告网络是通过非常欺骗手段对恶意铬延伸的分布贡献。

在这篇文章中,我们看看这样一个扩展的强制安装,最终导致更多的广告被送入Chrome。一旦你旋转恶意轮盘,任何事情都可以发生......

恶意运动

根据他们访问网站时,基于用户代理字符串,谷歌Chrome用户是划分的。不是将它们重定向到漏洞套件,而是通常被重定向到伪软件更新,诈骗或流氓浏览器扩展。

这种恶意流(XML Feed)显示了用户如何重定向到诱使符合它们以安装Chrome扩展的虚拟网站。

诱惑实际上是委婉语,因为在这种情况下,用户别无选择“添加延期才能离开“,虽然他们的浏览器卡在永无止境的全屏模式中。这里使用的技巧与什么非常相似Pieter Arntz.在他的11月16日博客中描述了(强制安装Chrome扩展名)。

隐藏但无所不在

安装后,此扩展可确保它通过使用1×1像素图像作为其徽标而持续隐藏(请注意从下面的动画中的镀铬菜单旁边的右上角的空白空间)和挂钩Chrome://扩展Chrome://设置这样可以自动重定向访问这些尝试Chrome://应用程序。这使得普通用户可以更加困难,以查看它们具有哪些扩展,更不用说卸载其中一个。

真正的坏东西被埋葬成几个混淆的JavaScript文件:

较大的人揭示了与命令和控制服务器的连接,在那里它可以接收关于下一步该做什么的指令:

广告欺诈和骗局

此扩展后面的肇事者正在检查当前URL中的某些关键字,并在满足条件时阻止/重定向。例如,如果用户尝试访问Malwarebytes网站,则浏览器将立即重定向,首先到一个you必威平台APPtube视频,然后到一个各种可能的不需要的程序(PUP),富含快速方案和各种其他骗局之一。

如果没有技术支持骗局,这个博客帖子就不会完整,这似乎无法避免这些天。如果用户单击新选项卡或键入'forbidden'关键字,则重定向链将提供假的Microsoft警告。

延伸困境

Google Chrome Extensions是非常强大的程序,在扩展浏览器的功能方面非常有用,但也可以用于恶意目的。不幸的是,在线骗子太容易欺骗人们安装他们的恶意延伸。

如果您曾访问运行Chrome或拥有Chromebook的家庭或朋友,则会在其计算机上安装的延伸检查,并且您会感到惊讶的是那里有多少阴影或平坦的欺诈性。

除了重定向到虚假网站和垃圾报价外,还有一些严重的隐私和安全影响(Rogue Google Chrome延期间谍在您身上)当扩展可以读取您输入的内容并将此信息发送到犯罪分子。

谷歌将此虚假的延伸从其商店拉动。如果您已安装并无法摆脱它(它不会让您常规方式),请下载Malwarebytes并运行扫描。必威平台APP我们发现并删除了这一个Rogue.forcectextension.

IOC.

假延伸:
Pakistance.club.
lfbmleejnobidmafhlihokngmlpbjfgo

后端服务器(广告欺诈/恶意):
Amserver.Info.
qma0.2dn.xyz.

技术支持骗局:
Microsoft-Official-Warning.Info.