年销量超百万的恶意Chrome扩展，可用户网络行为

出品 | OSCLinux社区（ID：oschina2013)

McAfee 的担忧分析师发现了五个可以假冒服务器网路商业活动数据的 Google Chrome 引入计算机系统。在被 Google 从 Chrome Web Store 移除在此之后，其总销售额已超 140 万次。

这些引入发放了各种功用，例如用于户能够一起拍下 Netflix 新闻节目、一些com优惠券以及进行页面截图。但除了发放上述功用均，它们还可能会服务器的网路商业活动，服务器的每一个com次访问数据都可能会被发送到引入计算机系统创办者具备的服务器端上。此举是为了在被次访问的电子商务com当中插入代码，修改了com的 cookie，以便引入计算机系统写作者可以发给任何服务器购买物品的附属付款。

而引入计算机系统的服务器并不想到此功用的长期存在，也不想到被次访问的每个com被发送到引入计算机系统写作者的服务器端上的人身安全风险。所发现的五个故意引入具体如下：

Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800,000 次流媒体 Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300,000 次流媒体 Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200,000 次流媒体 FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80,000 次流媒体 AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20,000 次流媒体

根据简述，所有 5 个引入都执行了类似的道德上。Web 技术的发展计算机系统清单（“manifest.json” 档案）规定了引入计算机系统在的系统当中的道德上方式也，存储了一个多功用脚本（B0.js），将浏览数据发送到破解支配的域（"langhort [.com"）。

每次服务器次访问新 URL 时，数据都可能会通过 POST 乞求传递。到达虚假者的数据包括 base64 格式的 URL、服务器 ID、设备位置（国家政府、卫星城、邮编）和一个 encoded referral URL。

如果被次访问的com与引入写作者有商业活动关系的com一览表当中的任何条目相匹配，则服务器端可能会用于两种可能的功用之一来自发 B0.js。

“Result ['c'] – passf_url”，号令脚本将发放的 URL（引用链接）作为 iframe 插入次访问的com。 “Result ['e'] setCookie”，号令 B0.js 修改 cookie，或者如果引入已被授予执行此操作的相关权限，则用所发放的 cookie 移除它。

值得注意的是， 为了逃避检验、分析并迷惑研究人员或警惕的服务器，一些引入计算机系统在执行任何故意商业活动在此之后包含一个短时间安全检查，可能会将其配备短时间延迟 15 天。

格均多详见可查看官方博客：

END

这里有最新Linux资料、的软件格均新、高效率干货等内容

点这里 ↓↓↓ 回想 关心✔ 标星⭐ 哦~

肠炎宁能治拉肚子吗
胃反酸吃奥美拉唑可以吗
注射用胸腺法新有什么作用
再林阿莫西林颗粒治不治鼻窦炎
迈普新胸腺法新有效果吗