浏览器已是大部分使用者不可或缺的工具,而且,常见的浏览器都能透过延伸套件来加入功能,这也使得骇客藉著散播恶意延伸套件的情况,越来越频繁。
资安业者ReasonLabs揭露再者,PowerShell指令码会停用浏览器的更新机制。
接著,攻击者也会窜改浏览器捷径档(LNK)内容,在使用者同时在启动浏览器的过程中,一并载入本机的特定延伸套件,从而挟持浏览器的搜寻结果,并与C2进行通讯。而这个套件不会在浏览器的延伸套件管理介面呈现,一般使用者难以察觉。
最后,这个PowerShell指令码会与C2进行连线,回传执行的结果,然后取得下个阶段的恶意功能,过程中电脑会透过Invoke-Expression的PowerShell功能来进行,并窜改浏览器的DLL(chrome.dll、msedge.dll)来置换浏览器的搜寻引擎。
在研究人员调查此事的过程里,他们看到骇客使用的C2网域,大多数防毒引擎都尚未视为有害。此外,他们后来也看到此PowerShell指令码的其他变种,有些使用一年前建立的网域进行C2通讯。
这些受害电脑被植入的恶意套件当中,有些是透过Chrome store、Edge Add-ons这类浏览器延伸套件市集下载的,研究人员指出,针对Chrome的套件以Micro Search Chrome Extension最多,有超过18万使用者下载,此外,还有Custom Search Bar、yglSearch、Your Search Bar,分别感染超过4万台电脑。
至于针对Edge的部分,则是名为Simple New Tab的套件占大多数,有超过10万台电脑受害。