Google最近從Chrome網上應用商店中刪除了32個惡意擴展程序,這些程序的總安裝量可能達到7500萬次。這些惡意擴展程序通常會隱藏其惡意代碼,通過執行其預期功能來獲得用戶的信任。網絡安全研究員Wladimir Palant發現了一個名為PDF Toolbox的擴展中的混淆代碼,該擴展的Chrome商店評分為4.2,活躍用戶超過200萬。該代碼允許網站 “serasearchtop[.]com” 向該擴展用戶訪問的所有網站注入任意 JavaScript 代碼。他解釋說,該代碼的目的是在安裝擴展後24小時內啟動,並可能注入廣告。
發現PDF Toolbox擴展中的代碼幾週後,Palant發現另外18個使用類似代碼的惡意瀏覽器擴展。這些擴展的用戶總數達到了5500萬,其中包括 Autoskip for YouTube(活躍用戶900萬)、Soundboost(活躍用戶690萬)和 Crystal Ad block(活躍用戶680萬)。一旦Avast確認這些擴展包含惡意代碼,便向Google報告了這些擴展。
Avast表示,擴展程序的最終有效負載似乎是一種用於向人們發送不需要的廣告的垃圾郵件廣告軟件,以及顯示贊助商鏈接、支付搜索結果和潛在惡意鏈接的搜索結果劫持者。雖然這個數字很高,但安裝數量可能被人為誇大。因為Chrome網上應用商店上有可疑的評論數量,而且與惡意活動的人數不一致。
Google已經從Chrome商店中徹底刪除了報告的所有擴展程序。用戶需要卸載或停用仍然安裝了的擴展程序,並定期檢查Chrome商店的擴展程序。除此之外,用戶還應該增強自己的網絡安全意識,以避免不必要的安全風險。
