【乾貨】惡意擴充套件瘋狂襲擊瀏覽器，2600+個網站被劫持

        近期360安全大腦監測到大量針對瀏覽器的劫持攻擊，中招使用者的瀏覽器被靜默安裝了惡意擴充套件（如時鐘提醒、今日惠購、頁遊等），然後瀏覽網頁時莫名跳轉到指定網站。

        目前該惡意擴充套件已劫持超過2600個網站，並且對於部分網站，它還把作惡開始、結束時間指定在下班或深夜時段，已經累計超過百萬使用者受到影響。經360安全大腦追蹤分析，該惡意擴充套件主要通過一款叫做遊迅遊戲盒子的軟體植入使用者電腦。

部分中招使用者例項：

1）中招使用者訪問淘寶，會被劫持跳轉到帶ID的天貓連結：

2）還有部分使用者訪問hao123導航，被劫持跳轉到帶ID的2345導航：

3）QQ遊戲、4399、7k7k等常見遊戲網站被劫持到一個棋牌遊戲網站：

4）其它一些私服網站則全部劫持到該私服頁面：

受影響區域分佈：

廣東、江蘇、浙江、山東、遼寧等沿海地區的使用者劫持受影響程度比較高。

行為分析：

樣本：

安裝說明中誘導使用者退出殺軟的提示

        該遊戲盒子程式主要通過遊迅網進行傳播，在其安裝說明中誘導使用者允許或關閉防毒軟體執行；遊戲啟動器在使用者點選關閉按鈕退出時則會下載執行配置檔案中配置的偽裝成刺激戰場遊戲的木馬程式，該木馬執行後判斷殺軟環境又會去雲端(hxxp://box.bainuonet.com/extendU/ChggmeePlugin.zip)拉取惡意擴充套件在多個瀏覽器進行安裝，並且雲端還會不斷變換副檔名稱：

    新增到瀏覽器中的部分惡意瀏覽器擴充套件（頁遊、時鐘提醒、今日惠購等），如下圖所示：

​

        該擴充套件會隨著瀏覽器的開啟而在後臺執行，從連結hxxp://lusang.cckyedu.com/cgi/NewPageJumpConfiguration.ashx/pagejumpconfig/getconfig?intermode=0&ver=讀取json配置用於流量劫持的配置列表，同時為了防止被使用者輕易發現，其在多個連線的劫持配置中還設定了進行劫持的時間段控制程式碼，在指定的時間段才會劫持；另外如果不在劫持時間段內則會通過一個觸發機率控制引數“Odds”來控制觸發劫持行為的機率。

雲控讀取劫持列表

redirectUrl方法跳轉劫持頁面程式碼片斷

        之後就會在後臺跳轉匹配其規則的連結，有的帶上其自己的推廣標識，有的甚至直接跳轉到其自建的同型別的網站地址或下載連結，完成流量劫持；配置規則包含了電商、導航、頁遊、直播、下載站、彩票、私服等型別（如淘寶、天貓、京東、2345、hao123、知乎、攜程、華為商城、蘇寧易購等超過2600個網站連結）

劫持時間段分佈

劫持規則示例

部分劫持規則截圖：

​

360安全大腦提醒使用者：

1、使用360安全衛士可攔截和阻止該木馬的攻擊，建議廣大使用者及時下載安裝360安全衛士保護電腦保安；

2、對於防毒軟體報毒的程式，不要輕易選擇新增信任或退出殺軟執行；

3、如發現瀏覽器訪問正常網站出現自動跳轉到帶計費連結的網站時儘快使用安全軟體進行查殺；

4、建議使用者選擇正規渠道如360軟體管家安裝遊戲，以免自己的電腦成為不法分子控制劫持的工具。

​

IOCs:

MD5:

825bc6a32ebc87a793e2e28801fa7954

82A6D4E42E3868D4E6EA978B2C81F532

Urls:

hxxp://hggpe.sj789521[.]com/cgi/NewPageJumpConfiguration.ashx/pagejumpconfig/getoddsconfig?ip=25.0.0.3&ver=27.0.0.1

hxxp://lusang.cckyedu[.]com/cgi/PlugConfigFileConfiguration.ashx/plugconfigfileconfig/getconfig?ver=25.0.0.6

hxxp://sdmv.wxyxch[.]cn/Instnew/Install/WebkitAssistance_qdq.exe

Crx ID:

mlpghoohnhjmflmlengdemipchgjodae