微软扩展商店内含大量病毒扩展插件
章鱼wheat2024/04/07原创 软件综合 IP:江西
中文摘要
微软商店内含大量病毒扩展插件,利用安装了恶意扩展插件的浏览器
刷youtube 浏览量/点赞数 并且会上传其他网站的cookie之类的敏感信息

我已经两次中招了,第一次是因为安装了一个万能复制插件,第二次是因为安装了一个 '一键谷歌翻译' 插件,我安装的这两个插件都是有一些评论 安装数 在前排的

    如何发现的?

经常莫名其妙有个音频开始播放 可以看到音频来源是某个不相关页面(包括科创页面) 大部分都是各种非英语的语言 不过有时会是中文视频(其中一个是王局),一开始以为是edge浏览器有bug,更新后无果,搜索有没有类似经历的依然未能搜索到,使用开发人员工具看了一下就成功发现了,原来是在偷偷访问yotube视频

    其显著特征为
1.莫名其妙一个网页开始播放一个声音(实际为在后台偷偷访问youtube视频)

2.无关页面访问 XXXXXXXXXXXXXXXXXXXX/timesince (提交协议头包括各种敏感信息)

3.无关页面访问 XXXXXXXXXXXXXXXXXXXXX/?app=m 

    为何认为有'大量'?

使用谷歌搜索XXXXXXXXXXXX 可以明显看到已经有一部分人在最少一年前就关注到了这件事 但是目前来看并未有任何大的关注

而我扩展安装的次数也非常少 只是一个广告过滤插件 油猴 万能复制 翻译 第一次就是我去安装万能复制扩展的时候安装到的病毒插件  第二次就是去安装翻译扩展插件 又再一次中招 这实在是太容易中招了

Browser hijacker? : techsupport (XXXXXXXXXX)

Concerned about XXXXXXXXXXXXXX - Resolved Malware Removal Logs - Malwarebytes Forums image.png

image.png

image.png

image.png

image.png

image.png

    病毒插件细节

安装一键谷歌翻译后,打开开发人员工具后,再打开任意不知名网站,即可发现
此病毒疑似会检测访问网站是否在某个名单内(恶意js内带有一大串的网址,我打开常见网站也发现没有这些请求),如果检测到了则在此网页下不进行恶意操作,疑似为了防止被发现

image.png fa0684c333d30edda11f43aea52e516.png

f8fddcc45ec4416e1d9da225df730a1.png

微信图片_20240407152950.png

post数据里包含此页面浏览的网页的域名

第一次的扩展插件提交协议头上有附带本站cookie的,并且还有完整的网址,非这次的只有域名,不过我这并未有之前的截图

image.png

image.png

image.png

查看youtube浏览记录,点赞记录,任意点击一个视频都会发现 浏览数和点赞数离谱的差距

image.png

Microsoft Edge Add-ons

点击在商店中查看发现该扩展已经没了

image.png

并且我发现这个扩展好像会导致无法使用谷歌搜索,能够访问主页但是点击搜索就会这样,设置站点访问权限为单击时也一样的,得彻底关闭才行

image.png

1712471391610.jpg

最早发现时间 2024年2月10日 3月28日应该为第二次中招时间

attachment icon 恶意插件.zip 76.32KB ZIP 1次下载

attachment icon 恶意js代码.zip 507.98KB ZIP 0次下载

image.png

查看js代码发现有大量'混淆'反逆向操作 大量被编码的数据 定义了一大堆参数 

可能可以尝试使用github上开源的js解密工具进行解密


顺便我去随便去最新页面安装了好几个插件,不管是什么功能 都需要阅读你的浏览历史记录权限,至于会不会读取任何给你提交了,idontknow

1426c1db5850aa4368827d9a0271537.png

5fcfa82dc73006ccbce66c4b4e8aed8.png

7b5e33b3457c2c3d8f67129406ac8d8.png

image.png

image.png (这个应该是很久以前的在微软商店安装的,并非'未知来源')

(我发现在2024/4/7 15:08 看不见这些请求了也许有时间段限制? 我想着挂着看看完整的流程,是访问了什么获取了需要被刷的视频之类的,之前的XXXXXXXXXXXXXXXXXXXX/timesince未有任何返回数据 由于时间原因暂时就写到这里了) 

[修改于 8个月18天前 - 2024/04/07 19:22:42]

+1  科创币    20!Dopaminor    2024/04/11 有意思,chrome有时也有恶意插件,多出现于视频下载插件
来自:计算机科学 / 软件综合
2
4
 
置顶回复
已屏蔽 原因:{{ notice.reason }}已屏蔽
{{notice.noticeContent}}
~~空空如也
章鱼wheat 作者取消置顶
8个月16天前 修改于 8个月16天前 IP:江西
931067

emm现在再也捕获不到这个了,感觉被监视发现了一样

(2.无关页面访问 XXXXXXXXXXXXXXXXXXXX/timesince (提交协议头包括各种敏感信息)

3.无关页面访问 XXXXXXXXXXXXXXXXXXXXX/?app=m )


但是我又发现了使用XXXXXXXX进行搜索会显示谷歌一样的请禁用当前扩展 (国内bing,百度不会,看来这种病毒应该没有什么针对性)

image.png

不过这个界面显示没多久就跳转到:

XXXXXXXXXXXXXXXXXXXXXXXXX/gex8?q=%E5%95%8A%E7%B1%B3%E8%AF%BA%E6%96%AF

然后这个又跳到了

XXXXXXXXXXXXXXXXXXXXXXXXX/XXXXXXXXXXpx?gd=RD1003093&searchsource=69&q=%E5%95%8A%E7%B1%B3%E8%AF%BA%E6%96%AF&n=4525

然后跳到了

XXXXXXXXXXXXXXXXXXXX/search?q=%E5%95%8A%E7%B1%B3%E8%AF%BA%E6%96%AF&pc=0P163&ptag=C999N4525A3F622D09CA&form=PCF166&conlogo=CT3210127

image.png

image.png  

image.png

image.png

简单的搜索... 这个插件简直是集大成者 ,各种恶意行为都有

XXXXXXXXXXXXXXXXX 浏览器劫持者清除指南 (XXXXXXXXXXXXXXXXX)

image.png

章鱼wheat作者
8个月18天前 IP:江西
930954

按错了....

引用
评论
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论
章鱼wheat作者
8个月16天前 修改于 8个月16天前 IP:江西
931067

emm现在再也捕获不到这个了,感觉被监视发现了一样

(2.无关页面访问 XXXXXXXXXXXXXXXXXXXX/timesince (提交协议头包括各种敏感信息)

3.无关页面访问 XXXXXXXXXXXXXXXXXXXXX/?app=m )


但是我又发现了使用XXXXXXXX进行搜索会显示谷歌一样的请禁用当前扩展 (国内bing,百度不会,看来这种病毒应该没有什么针对性)

image.png

不过这个界面显示没多久就跳转到:

XXXXXXXXXXXXXXXXXXXXXXXXX/gex8?q=%E5%95%8A%E7%B1%B3%E8%AF%BA%E6%96%AF

然后这个又跳到了

XXXXXXXXXXXXXXXXXXXXXXXXX/XXXXXXXXXXpx?gd=RD1003093&searchsource=69&q=%E5%95%8A%E7%B1%B3%E8%AF%BA%E6%96%AF&n=4525

然后跳到了

XXXXXXXXXXXXXXXXXXXX/search?q=%E5%95%8A%E7%B1%B3%E8%AF%BA%E6%96%AF&pc=0P163&ptag=C999N4525A3F622D09CA&form=PCF166&conlogo=CT3210127

image.png

image.png  

image.png

image.png

简单的搜索... 这个插件简直是集大成者 ,各种恶意行为都有

XXXXXXXXXXXXXXXXX 浏览器劫持者清除指南 (XXXXXXXXXXXXXXXXX)

image.png

引用
评论
2
加载评论中,请稍候...
200字以内,仅用于支线交流,主线讨论请采用回复功能。
折叠评论

想参与大家的讨论?现在就 登录 或者 注册

所属专业
上级专业
同级专业
章鱼wheat
进士 机友 笔友
文章
20
回复
299
学术分
0
2022/10/23注册,4时32分前活动

年龄:2007-09-0* <h1 style="font-size: 150px;">大</h1> <h1 style="font-size: 10px;">小</h1> <div class="article-panel-count"><div class="fa fa-thumbs-up"></div><span>9999</span></div> <img src="XXXXXXXXXXXXXXXXXXXXXXXX:81/sticker/315491"> <button class="btn btn-primary">测试</button> <button class="m-b-05 m-r-05 btn-sm btn-default btn">测试</button> <a class="pointer" onclick="document.write('')">测试</a> <label><input type="checkbox" value="11"><span>测试</span></label>

主体类型:个人
所属领域:无
认证方式:手机号
IP归属地:江西
插入公式
评论控制
加载中...
文号:{{pid}}
投诉或举报
加载中...
{{tip}}
请选择违规类型:
{{reason.type}}

空空如也

加载中...
详情
详情
推送到专栏从专栏移除
设为匿名取消匿名
查看作者
回复
只看作者
加入收藏取消收藏
收藏
取消收藏
折叠回复
置顶取消置顶
评学术分
鼓励
设为精选取消精选
管理提醒
编辑
通过审核
评论控制
退修或删除
历史版本
违规记录
投诉或举报
加入黑名单移除黑名单
查看IP
{{format('YYYY/MM/DD HH:mm:ss', toc)}}