中文版 Global
首页 > 安全资讯 > 正文

山寨软件无孔不入:超5万用户受影响,360安全大脑全面拦截!

  • 2019-09-03 10:07:35

近期,360安全大脑监测到一款伪装成“惠惠购物助手”的浏览器恶意拓展,通过云控劫持了hao123、2345等在内的20多个网站,并在哔哩哔哩等多家网站中插入了“头条部落”的新闻广告,导致不少用户在访问浏览器时会自动跳转到其他站点,严重影响了用户的使用体验,目前有超5万台机器受到影响。


不过广大用户无需担心,目前360安全卫士可全面拦截该恶意拓展的劫持攻击,建议广大用户及时下载安装360安全卫士保护电脑隐私及财产安全。



                                  “混淆视听”—采用极具迷惑性的伪装   多方劫持牟利


通过对比发现,该“山寨”扩展和官方扩展相比,仅有版本号和扩展ID的不同,极大的诱惑性使得普通用户很难分辨真假,对比图如下所示:



此外,为迷惑视听,该恶意扩展还在其代码中进一步将所有JS文件均进行了混淆。360安全大脑经过去混淆分析后发现,该恶意扩展会劫持QQ、hao123、2345、天猫、京东、携程、百度搜索、搜狗搜索、苏宁、阿里巴巴精选在内的多家电商、搜索、导航网站,并在新闻头条、哔哩哔哩、4399、江西新闻网等多家网站插入头部广告,以此牟取暴利。


在哔哩哔哩等网站中插入

                                                      在哔哩哔哩等网站中插入"头条部落"广告


                                  “因地制宜”—不同网站不同方法   达成攻击全覆盖


值得一提的是,伪装成“惠惠购物助手”的恶意扩展在劫持不同性质的网站时,使用了不同的劫持方法,比如在劫持QQ、2345、Hao123等网站时会通过hxxps://hao.815ff.com/api/goods/v1/get.script.core?v=20190705.01获取劫持规则,并根据规则直接将其劫持到毒霸导航。



而在劫持天猫、京东、携程、百度搜索、搜狗搜索、苏宁、阿里巴巴精选等电商、搜索网站时,该恶意扩展使用的劫持规则却额外地使用AES ECB模式进行了加密。当恶意扩展从服务端链接

hxxps://hao.815ff.com/api/goods/v1/get.goods.v2/?ua=[UserAgent]获取劫持规则后,需先将其解密才能进一步根据规则实施劫持。



在劫持规则的加密算法中, padding操作方式为Pkcs7,加密所使用的密钥为” 1234569982195557”,相关解密函数如下图所示:



解密后的完整规则如下所示:



截至到目前,已有超过5万用户受到该恶意扩展影响,为避免此类劫持攻击面积进一步扩大,360安全大脑建议广大用户做好以下防御措施抵御此类攻击。

1、 及时下载安装360安全卫士,并保证开启,抵御各类病毒木马攻击;

2、 当浏览器访问自动跳转到带计费链接等异常广告页面时尽快使用安全软件进行查杀清理;

3、 切记不要安装来源不明的扩展程序,建议用户选择正规渠道如浏览器扩展中心或Chrome 网上应用店安装扩展,以免自己的浏览器成为不法分子控制劫持的工具。

 

IOCs

2b44c4d9cfde2a261d87af3d5796547763055bca

扩展ID: jgpgbkoifojhkpddkmdaidbaljcocmmf

Urls

hxxps://hao.815ff.com/api/goods/v1/get.script.core?v=20190705.01

hxxps://hao.815ff.com/api/goods/v1/get.goods.v2/?ua=[UserAgent]

hxxps://tg.s4e54s.cn




                               了解更多安全资讯或咨询安全问题,请关注以下微信公众号

360安全卫士

热点排行

用户
反馈 返回
顶部