想看的網頁被遮擋、想買的商品被隱藏,甚至還可能暗藏惡意外掛,稍不留神就會被盜取個人資訊……瀏覽器惡意廣告正威脅著廣大網友的隱私及財產安全。近期,360政企安全反病毒中心接到大批使用者反饋,稱訪問網站被插入廣告且部分無法關閉。經360安全大腦分析發現,此次事件是由瀏覽器惡意擴充套件劫持攻擊,以及某壓縮軟體將廣告附加到瀏覽器標籤頁所導致。
長期以來,瀏覽器惡意擴充套件主要是虛假產品主頁透過搜尋引擎競價排名吸引流量,進而推廣惡意下載器軟體所致。一旦下載安裝此類軟體,啟動後便會在靜默狀態下,向瀏覽器安裝惡意擴充套件以劫持瀏覽器,而被推廣的擴充套件則由此透過雲控,在使用者訪問的其它網站中插入廣告、並劫持跳轉超過5000個網站。不過廣大使用者無需過分擔心,在360安全大腦的極智賦能下,360安全衛士可快速查殺此類威脅,清掃瀏覽器廣告中潛藏的“毒瘤”。
靜默“惡人”放大招,劫持網頁放毒搶流量
360安全大腦資料顯示,截止目前累計已有數十萬使用者受到影響。而在對反饋情況進行分析後,360安全大腦發現此次遭遇瀏覽器惡意擴充套件劫持攻擊的使用者,多在搜尋引擎中搜尋過一些較為熱門的軟體。
而某些惡意網站便會透過搜尋引擎的競價排名機制,購買熱詞吸引流量,以此將使用者誘導到自己搭建的虛假主頁上。
而虛假主頁中所下載的軟體,則是帶有廣告程式的惡意軟體。
下載器執行時會從服務端下載惡意擴充套件壓縮包,並強行結束瀏覽器程式然後釋放到擴充套件相關目錄並修改瀏覽器配置檔案進行擴充套件的安裝:
該擴充套件程式碼進行了大量混淆:
進行去混淆後,可知其具備網站劫持(主要劫持淘寶客、搜尋、私服等網站)、插入廣告等功能,並且執行的策略規則都是線上雲控:
劫持策略規則還使用AES演算法加密和 Base64編碼。
分析人員將加密資料還原出來後,可見劫持規則如下:
其中被劫持的私服網站竟多達4961個:
執行後,會在其它網站中插入廣告,且不提供關閉按鈕:
瀏覽器活動標籤“注水”,霸屏彈窗廣告以假亂真
進一步分析後,360安全大腦發現除上述中招情形外,在部分受害使用者的機器上,彈窗相關程式已被透過RC4加密的引數控制。
對樣本引數進行解密,具體如下所示:
-project=kuaizip
-adurl=http://ssp.7654[.]com/tray
-qid=kuaizip
-ad=kuaiya_yptips_1
-countdown=30
-attachbrowser=true
-showadmark=true
-killprocess=60
-dlldata=logo_yptips
-configurl=http://down1.7654browser.shzhanmeng[.]com/tui/yptips/intervals.json
-closebuttonjsonurl=http://tips.glzip[.]com/n/tui/yptips/yptips.json
-countdown=60
-reportprefix=yptips-1
360安全大腦深入分析後發現,引數對此類廣告進行的各種設定,具體包括是否附加到瀏覽器、是否顯示來源、倒數計時自動關閉、載入dll資料、連線雲控json控制的開始時間以及觸發的時間間隔等。
其中命令列引數“-dlldata= logo_yptips”會對指定的模組進行logo_yptip載入,該模組都被加密後寫入Gif資料,並被存放在登錄檔中,執行的時候建立遠端執行緒執行此段shellcode,最終由shellcode載入起YpTips.dll並呼叫匯出函式e開始執行彈窗相關操作:
此外,因“-attachbrowser=true”引數被設定為開啟狀態,所以彈出的廣告會被附加到瀏覽器活動標準頁視窗上,以假亂真仿冒瀏覽器頁面廣告。具體彈窗效果如下圖所示:
謹防“帶毒”廣告刷屏,360安全大腦還你清淨瀏覽器
瀏覽器廣告“氾濫”,木馬植入、資訊詐騙、強制消費等安全隱患接踵而至,汙染網路環境之餘,不僅侵犯了使用者選擇權,更嚴重威脅著網路安全。而在發現此類威脅後,360安全大腦極速出擊,極智賦能360安全衛士,實現可在第一時間查殺此類惡意軟體,保護廣大使用者上網安全。
此外,瀏覽器作為網際網路最重要的入口之一,堪稱政企辦公的重要場景。而面對強勢來襲的惡意軟體和擴充套件威脅,360政企安全反病毒中心針對廣大政企多端使用者,給出如下安全建議:
1.建議使用者選擇正規渠道安裝軟體,以免自己的電腦成為不法分子控制劫持的工具;
2.如發現瀏覽器被插入惡意廣告或訪問正常網站出現自動跳轉到帶計費連結的網站時儘快使用安全軟體進行查殺;
3.如瀏覽器支援,請開啟瀏覽器的“自動停用來源不明的擴充套件”功能。
附錄
部分擴充套件ID(部分名稱為偽裝)
fcahamiicfebpelbggpdjnolnoinimem
eeeoblhffniamgejemaladfhibjiicdp
dgdnmfccfomgnaeipcpkigpofpfhkmnk
bjdlfjomcjcaobkgdhfbnafkdbhpbjia
kbgoekedgkjckjbgngcgnfofnibfibhd
cdlkigdinekjphniiikllpimpfibljla
gmncddhbbfkjkcffhhbjgfjcfcfbileh
phnompbmndfjfdhcckblollfoipcgnbf
npolpagifegogmgcbpeogeiahjjigibm
pacfadfnhfkijmiacjflgdgconhhfjfm
moalihdkojhlkmdfjhlcakelngkiipln
fabpcgbcmpkjfneobkfcckfeamiaoidb
kpiomiebgaaoheanbeinnkeidfdnekkm
oagdkhmnlmhmhnhkgboembifjkkbmkhl
gpkgjgiaimkoechjbdfaakmjpeoaoani
emhjojjbglkfopinkcpipcbfihehljoo
impjhdnlcphjmhfchpjeomplfdllimkb
omapfdkaloophlpaaiapohjinekildhm
ncadgjloklpmlblhciofgpmhaodpbhmg
bbalkplkepokcbhaeigcbifhceiffnac
dedaccoeanofpnibpflegcageagehpde
occhecfbiehogeebddncjaammkclffao