恶意谷歌浏览器插件窃取所有用户 POST 的数据

最新的滥用情况涉及到谷歌浏览器扩展程序传播到网络钓鱼邮件，窃取受害者在网上发布的任何数据。 这与以前针对特定URL监视浏览器活动并提取证书的攻击背道而驰。


根据Morphus实验室首席研究员，SANS互联网风暴中心（ISC）经理Renato Marinho的说法，这项运动可能仅限于巴西和其他葡语国家。

Marinho告诉Threatpost，该钓鱼邮件是用葡萄牙文写成的，与受害电脑（包括目录名称）相关的一些特征使他相信这些攻击中使用的恶意软件起源于巴西。

“根据我在垃圾邮件陷阱上收到的信息，竞选活动正在进行中，可能会造成很多受害者，”Marinho说的。

Marinho说，这封电子邮件中包含一个暗示，通过WhatsApp（“通过WhatsApp（30244）”（Segue as（Fotos Final de Semana）Enviadas）发送的周末活动的照片。

如果受害者点击链接，一个名为whatsapp.exe的恶意软件删除程序将被执行，并提供一个假冒的Adobe Reader安装程序，它会在受害者的计算机上下载并安装一个.cab文件。 .cab文件是一个9.5MB的压缩文件，一旦解压缩就会释放一对200MB以上的文件，Marinho在给SANS ISC站点的报告中写道。 他说，大部分的代码都是试图绕过防大型文件的反恶意软件扫描程序。

其中一个文件试图禁用Windows防火墙，并在安装JavaScript的恶意浏览器扩展之前杀死所有的Chrome进程。

该扩展捕获受害者在任何网站上公布的所有数据，Marinho说，在它被发送到使用jQuery和Ajax连接的命令和控制服务器之前。

Marinho补充说，现有的浏览器安全措施，如SSL或TLS不会保护受害者，因为被盗数据是在浏览器内明文捕获的，然后通过HTTPS连接发送。

“这是另一个原因，这种方法对网络犯罪分子很有吸引力，”Marinho说的。

Marinho说他希望网络犯罪分子继续利用恶意的扩展来访问受害者的个人或敏感数据。

“攻击者没有必要将受害者吸引到带有可疑SSL证书的虚假网站，或者部署本地代理来拦截网络连接。 恰恰相反，用户正在访问原始和合法的网站，所有的交互工作正常，而数据被捕获和泄漏。”
他说：“在我看来，互联网浏览器应该更好地控制Android和IOS移动生态系统所做的扩展和插件的安装过程。 默认情况下，只有官方商店的扩展应该被接受安装。”





文章编译自：www.t00ls.net