Chrome扩展使用您的Gmail注册域名和注册Coinhive

  • A+
所属分类:安全资讯 渗透实战

Chrome是最广泛使用的网络浏览器,攻击者每天都开始开发更高级和恶意的扩展。无论是冒充广泛的扩展程序来投放广告劫持搜索查询注入CoinHive浏览器矿工,都很容易看到恶意扩展正在上升。

今天我们将要讨论的延伸,称为Ldi,它涉及到恶意行为的一个新的水平。这是因为它不仅将Coinhive浏览器矿工加载到受害者的浏览器中,而且使用了所有的CPU,同时也使用该受害者的Gmail帐户为使用Freenom的攻击者注册了免费域。

通过scammy网站推广

此扩展程序通过显示JavaScript警报的网站得到提升,这些警报不断提示您安装扩展程序。虽然这个网站不再在线,但当受害者试图关闭这些提醒时,页面会自动打开此Chrome扩展的Chrome网上应用店页面。Chrome网上应用店页面几乎没有信息,描述是“想知道您的主页是否与Mac兼容?请检查Ldi”。此扩展程序已从Chrome网上应用店中删除。

Chrome扩展使用您的Gmail注册域名和注册Coinhive

当我进一步挖掘来源时,虽然很明显,这不是我们的花园种类不必要的延伸。

与Ldi扩展下来的兔子洞

此扩展名包含两个名为jarallax.min.js和bootstrap-filestyle.min.js的 JavaScript文件,如下所示。

Chrome扩展使用您的Gmail注册域名和注册Coinhive

当我查看bootstrap-filestyle.min.js.script时,我注意到扩展开发人员在文件的末尾添加了一部分模糊化的JavaScript,每当浏览器启动时,它将执行。

Chrome扩展使用您的Gmail注册域名和注册Coinhive

上述JavaScript包括另一个被模糊化的脚本,它被解码和执行。一旦执行,脚本将连接到URL http://fbcdnxy.net/fgelohmmdfimhmkbbicdngnpeoaidjkj/geo-location.json?cache=[timestmap]。该网站将响应另一个应该由扩展执行的脚本。这允许扩展通过简单地分发不同的脚本来改变其功能。

目前,发送回执行的远程脚本是http://fbcdnxy.net/coobgpohoikkiipiblmjeljniedjpjpf/remote-postal-code.json。此脚本是扩展程序的完整版,并将执行各种恶意活动,例如通过Gmail帐户加载Coinhive和注册域名。

Chrome扩展使用您的Gmail注册域名和注册Coinhive

一旦浏览器启动,上述恶意脚本被执行,乐趣开始。

首先,扩展将连接到Facebook。虽然我没有看到它做任何其他连接,但是有相当多的代码专用于Facebook,这可能是通过Facebook Messenger传播扩展。不幸的是,我没有时间尽可能多地查看这部分代码。

扩展现在快速加载Coinhive,以便浏览器开始为开发人员挖掘Monero。

Chrome扩展使用您的Gmail注册域名和注册Coinhive

之后,它开始使用您的Gmail帐户注册域名的过程。首先,通过POST到URL https://my.freenom.com/includes/domains/fn-available.php并检查随机命名域和各种TLD是否可用于注册,连接到Freenom.com  。在这个例子中,它正在检查以查看字符串“jihafivagobumini”是可用的。

Chrome扩展使用您的Gmail注册域名和注册Coinhive

一旦检索到可用的域选项,它将使用URL https://my.freenom.com/includes/domains/fn-additional.php将每个域添加到购物车  。

Chrome扩展使用您的Gmail注册域名和注册Coinhive

添加域后,它启动结帐过程,但需要一个电子邮件地址和信息来注册域。要获取电子邮件地址,它会连接到URL  https://mail.google.com/mail/u/0/h/1pq68r75kdvdr/?v=lui,将登录的Gmail帐户切换到Gmail HTML视图。这样可以检索登录用户的电子邮件地址。如果用户未登录Gmail,则此扩展程序无法注册域。

然后它连接到  https://randomuser.me/api/0.4/?randomapi  ,以生成可以在结帐期间使用的随机注册信息。

Chrome扩展使用您的Gmail注册域名和注册Coinhive

现在,它具有电子邮件地址和随机注册信息,它完成了Freenom的结帐过程。为了完成注册过程,虽然受害人必须确认他们的电子邮件地址。但是,扩展程序很聪明,因为它检查Gmail帐户并自动为您打开验证链接。

这将导致扩展开发人员生成4个域,但在受害者Gmail地址中注册。每次在Chrome中安装扩展程序时都会这样做。

Chrome扩展使用您的Gmail注册域名和注册Coinhive

现在已经注册了域名,它将这些信息发回C2服务器,网址为http://fbcdnxy.net/。

目前还不知道这些域名是如何使用的,但是它们可以很容易地用于分发恶意软件,进一步扩展扩展或网络钓鱼广告系列。无论他们使用什么,每个受害者为开发人员注册4个域,并且一些恶意扩展具有数百个(如果不是数千个)的用户,这很快加上攻击者的巨大的域名。

正如我和其他人,进一步研究这个扩展,我将更新本文与发现的任何相关信息。

网路流量:

http://fbcdnxy.net/
http://fairexttrades.com/
https://my.freenom.com/
https://www.facebook.com/
https://coinhive.com/
https://mail.google.com/mail/
https://randomuser.me/

哈希:

e942e5016080cc69d45e8312bedbd5d983e9e310e9ee459366e90ea4c7c1a784

发表评论

您必须才能发表评论!