情况概述
近期,360政企安全接到大量用户反馈,在访问网站时被强行插入广告,且部分无法关闭。经分析发现,是一些浏览器恶意扩展在正常访问的网站中强插广告导致,进一步溯源发现,这些浏览器扩展来源主要是搜索推广的恶意下载器软件携带安装的。 对这些下载器分析,我们发现恶意下载器仿冒了超过3500款软件,涵盖办公、行业、设计、媒体等常见类型,其在启动后会静默向浏览器安装恶意扩展,该扩展通过云控在用户访问的其它网站中插入广告、劫持电商、导航、私服等超过6000个网站,此外扩展还会收集用户的上网数据甚至会收集用户在360论坛、QQ电脑管家论坛的发贴反馈情况;所有劫持规则均通过云端下发并使用AES、DES进行加密。
样本分析
木马来源
下面以其中一个“Microsoft Office Word 2010破解版@377.exe”为例进行分析:
仿冒Word恶意下载器页面
首先,下载页面会判断Referer是否来自于搜索引擎以及地区等信息后才会返回木马下载器的下载链接,并且几乎每次请求到的木马下载器的Hash值都不一样,猜测是以此来躲避一些自动抓取和自动分析工具。
恶意页面根据条件判断实时生程的下载链接
木马下载器被下载到本地执行后,界面如下图所示:
木马下载器界面
而如果分析人员直接访问该页面,则会返回普通的下载器的下载链接:
直接访问恶意页面得到的普通程序
我们通过脚本提取到被该木马伪装的其它软件,发现有超过3500款,涉及到的办公类软件超过40款
被伪造的安装包名称关键词
上面提到涉及到的超过40款办公类软件如下:
被伪造的办公软件安装包信息
代码分析
一、 检测环境,大量推装软件、木马,篡改浏览器首页
木马一旦开始运行,会首先通过远程链接获取后续工作所需的配置文件
通过链接获取后续行为配置文件
获取到配置文件后,会先根据其中内容检测杀软、常用抓包工具、ARK工具,甚至还会检测远程桌面、远程协助等工具。
配置文件中获取到的安全分析工具进程名
检测当前系统环境后,会从配置文件中解出需要推广的程序下载链接列表。这些程序中除一般意义上的推广程序外,也会带有一些其他木马程序。
配置文件中解出的推广链接
此外,木马还会篡改浏览器首页。篡改的地址为从云控配置中解密出的这些链接中选择其一。
配置文件中修改主页的链接列表
二、 安装扩展,劫持网站,窃取隐私
木马在完成上述工作后,会连接云端静默安装恶意浏览器扩展文件,劫持导航、电商、私服等网站、收集用户上网数据甚至会收集用户去安全软件论坛的反馈信息,通过云控配置会随机化扩展的名称、版本号等信息以对抗杀软的清理。 木马在完成上述工作后,会连接云端获取到大量恶意浏览器扩展文件进行静默安装。
大量恶意浏览器扩展
被安装的扩展代码进行了大量混淆,用于劫持的关键代码均从云端实时获取且进行了多层的加密,甚至每一层加密都使用不同的加密密钥:
DES算法加密后的云控劫持规则
解密出其中一个云控的劫持规则会劫持多个导航及搜索页面
劫持导航及搜索页
此外,我们还发现了劫持电商网站的部分代码:
电商页面劫持代码
不同版本的劫持规则会略有差异,下图为另一个版本解密出的劫持规则代码
搜索页面结持代码
电信充值页面劫持代码
在劫持页面的同时,这些浏览器扩展还会尝试模拟鼠标点击导航页面,以次增加点击量赚取更多佣金。
模拟鼠标点击导航页面
更有甚者,代码还收集了用户在360论坛、QQ电脑管家论坛中发贴情况,以及在VirSCAN.org网站提交样本扫描的文件信息。猜测是收集用户去这两个论坛反馈木马问题以及是否将其木马文件提交检测。
监控对安全论坛及多引擎扫描网站的访问情况
回传360、QQ管家等论坛的发帖标题
回传VirSCAN扫描的样本信息
同样的,木马还会将用户在浏览器地址栏中输入的URL地址回传到自身服务器。
回传浏览器地址烂中的URL
还有一个版本的扩展会通过云控判断地区,并在特定地区用户的正常访问页面中插入一个300×300的浮动广告。
向页面中插入浮动广告
安全提示
安装有360的用户无需担心,360可轻松拦截此类木马供给。
安全建议
360安全大脑建议广大用户: 1、 尽量选择官网等正规渠道安装软件,以免自己的电脑成为不法分子控制劫持的工具。 2、 如发现浏览器被插入恶意广告,访问正常网站出现自动跳转到带计费链接的网站时尽快使用安全软件进行查杀。 3、 开启浏览器中 “自动停用来源不明的扩展”功能。
IOCs(部分)
HASH
844731eee1196d014169fb756ef7863e950e5ea0a8e80d154b1afe96d8b1829a
URLs
- http://pl.khl666[.]com/dxtw/kblr.htm?
- http://dl.khl666[.]com/kz/bd11122117/NA3GVPU1Ax .cfg
- http://pz.antsysht[.]com/config
- https://mmq.nuobeiliao[.]com/ext/logo-a.png?_=1616491499123
CRX IDs
- cgolhhnfballfndeflinfanccpjikdmi
- ankenbdhlppgkfmabdmbfdokacfpnhea
- eopeikmffmlmgleomnimojfpigfjpjab
- kaahkldkddbnidfalodnlbdlbcmkbkfj
- ljljknaclekggpkbbjpbhjacgcngfcgp
- gabccfgplagmjhahelcodjflcpaadldk
- hcppkcennmjaafoffcpjnmpepepcklbg
- kkjjdgmjadhdlcpebcjfppmefkmhjbio
- egnlheliebooaeheaoabldecpmcneehp
- bbpabafaggklfannggfocipmnogbojam
- gadhochknhbcnklhdohlmdeidlfogbad
- comfmchjneommdoncjhagbkidolibgil
- hhkjfpeknmpgghnoojenpkjhginoomjp
- hkoopbbimnmoelagpjeoamgahnccmggc
- kkpidjggcleolfljongchppheeoibeca
- mjegnnlmmolelplmadidfccgbhokmhpo
- lehjanbmddecbhgnnncapflmglinppcj
- figbiejimdgnhdefdigjmcgfbhppcmlh
- jjmnodmnjioloohkajephjnljefnpofk
- npdmbbiopnooephgmjlebjgkkhljambm
- anamdmjnllfgnoamcnlafmhemfcppbbc