Nigelthorn惡意軟體濫用Chrome擴展,是怎麼做到的?

Nigelthorn惡意軟體濫用Chrome擴展,是怎麼做到的?

來自專欄安全客4 人贊了文章

寫在前面的話

在2018年5月3日，Radware的惡意軟體保護服務通過使用機器學習演算法，在其全球製造公司之一的客戶中發現了一個0day的惡意軟體威脅。這款惡意軟體在Facebook上傳播的，通過濫用谷歌的Chrome擴展(Nigelify的應用程序)來感染用戶，它會進行憑證盜竊，加密，點擊欺詐等等。

Radware威脅研究小組進一步調查顯示，該組織自2018年3月起至今一直活躍，已經在100多個國家中感染了100,000多名用戶。Facebook惡意軟體活動並不新鮮。類似行動的例子包括facexworm和digimine，但由於一直在變化的應用程序和使用逃避機制散播惡意軟體，這個組織似乎到目前為止還未被發現。

感染過程

Radware將其稱為惡意軟體命名為「Nigelthorn」,因為Nigelify應用程序將圖片替換為「Nigel Thornberry」。惡意軟體將受害者重定向到一個虛假的YouTube頁面，並要求用戶安裝Chrome擴展程序來播放視頻。

一旦用戶點擊「添加擴展」，惡意擴展就會被安裝，機器就會成為殭屍網路的一部分。惡意軟體依賴於Chrome並在Windows和Linux上運行。需要強調的是，該軟體專註於Chrome瀏覽器，Radware相信不使用Chrome的用戶不會面臨風險。

殭屍網路統計

Radware收集了各種來源的統計數據，包括Chrome網上商店的惡意擴展統計數據和Bitly URL縮短服務。點擊「添加擴展名」的受害者被重定向到一個Bitly網址，他們將被重定向到Facebook。這是為了誘騙用戶並檢索對其Facebook賬戶的訪問。超過75％的感染來自菲律賓，委內瑞拉和厄瓜多。剩餘的25％分布在其他97個國家。

繞過Google應用程序驗證工具

這個組織創建了一個合法擴展的副本並注入一個簡短的混淆惡意腳本來啟動惡意軟體操作。

Radware認為這樣做是為了繞過谷歌的擴展驗證。迄今為止，Radware的研究小組已經觀察到七種這樣的惡意擴展，其中四種已經被谷歌的安全演算法識別和阻止。但Nigelify和PwnerLike仍然保持活躍。

已知的擴展

惡意軟體

一旦在Chrome瀏覽器上安裝了擴展程序，就會執行從C2下載的惡意JavaScript初始配置（請參見下文）。

隨後將部署一組請求，每個請求都有自己的目的和觸發器。以下是通信協議。

惡意軟體功能

數據盜竊

惡意軟體專註於竊取Facebook登錄憑證和Instagram Cookie。如果機器上已經登錄（或者找到一個Instagram cookie），它將被發送到C2。

然後用戶被重新定向到Facebook API來生成一個訪問令，如果成功的話它也會被發送到C2 。

Facebook傳播

認證用戶的Facebook訪問令牌生成並且傳播階段開始。惡意軟體收集相關的賬戶信息，目的是將惡意鏈接傳播到用戶的網路上。訪問C2路徑「/php3/doms.php」並返回隨機URI。例如：

這個鏈接有兩種方式：通過Facebook Messenger發送消息，或者作為一個新帖子，其中包含最多50個聯繫人的標籤。一旦受害者點擊鏈接，感染流程就會重新開始並將其重定向到類似YouTube的網頁，該網頁需要「插件安裝」才能查看視頻。

Cryptomining

另一個下載的插件是一個加密工具。攻擊者使用公開的瀏覽器挖礦工具來讓受感染的機器開始挖掘加密貨幣。JavaScript代碼是從組控制項的外部站點下載的，並包含挖掘池。Radware觀察到，在過去的幾天里，該小組試圖挖掘三種不同的硬幣（Monero，Bytecoin和Electroneum），這些硬幣都基於允許通過任何CPU進行採礦的「CryptoNight」演算法。

Radware的見證了池：

?supportxmr.com - 46uYXvbapq6USyzybSCQTHKqWrhjEk5XyLaA4RKhcgd3WNpHVXNxFFbXQYETJox6C5Qzu8yiaxeXkAaQVZEX2BdCKxThKWA

?eu.bytecoin-pool.org - 241yb51LFEuR4LVWXvLdFs4hGEuFXZEAY56RB11aS6LXXG1MEKAiW13J6xZd4NfiSyUg9rbERYpZ7NCk5rptBMFE5uZEinQ

?etn.nanopool.org - etnk7ivXzujEHf1qXYfNZiczo4ohA4Rz8Fv4Yfc8c5cU1SRYWHVry7Jfq6XnqP5EcL1LiehpE3UzD3MBfAxnJfvh3gksNp3suN

在撰寫本文時，約六千美元的開採時間大約是1,000美元，主要來自莫內羅池。

持久性

惡意軟體使用許多技術來保持機器的持久性，並確保其在Facebook上的活動持久。

1.如果用戶嘗試打開擴展選項卡以刪除擴展名，則惡意軟體會將其關閉並阻止移除。

2.惡意軟體從C2下載URI Regex並阻止嘗試訪問這些模式的用戶。以下鏈接展示了惡意軟體如何防止訪問Facebook和Chrome清理工具，甚至阻止用戶進行編輯，刪除帖子和發表評論。

?https

:

//www.facebook.com/ajax/timeline/delete*?https://www.facebook.com/privacy/selector/update/*?https://www.facebook.com/react_composer/edit/ INIT / *

?https://www.facebook.com/composer/edit/share/dialog/*

?https://www.facebook.com/react_composer/logging/ods/*

?HTTPS：//www.facebook。 com / ajax / bz ?https: //www.facebook.com/si/sentry/display_time_block_appeal/ ? type

= secure_account* ?https:

//www.facebook.com/ajax/mercury/delete_messages.php*?https

：/ /www.facebook.com/ufi/edit/comment/*

?https://www.facebook.com/ufi/delete/comment/*

?https://www.facebook.com/checkpoint/flow*

?HTTPS： //dl.google.com/*/chrome_cleanup_tool.exe*

?https://www.facebook.com/security/*/download*

?https：//*.fbcdn.net/*.exe*

YouTube欺詐

一旦YouTube插件被下載並執行，惡意軟體就會試圖訪問URI「/php3/ YouTube」。在C2上接收命令。檢索到的指令可以是觀看、喜歡或評論視頻或訂閱頁面。Radware相信，該集團正試圖從YouTube獲得付款，但我們沒有看到任何高瀏覽量的視頻。來自C2的指令的一個例子:

{

「result」：[

{「id」：「5SSGxMAcp00」，

「type」：「watch」，

「name」：「Sanars u0131n animasyon yap u0131lm u0131 u015f | 「ANKARA」，

「time」：「07.05.2018 17:16:30」}，

{

「id」：「AuLgjMEMCzA」，

「start」：「47」，

「finish」： 1547，

「type」：「like」，

「name」：「DJI phantom 3 sahil」，

「time」：「07.05.2018 17:19:38」

}，

{

「id」：「AuLgjMEMCzA」，

「type」： 「watch」，

「name」：「DJI phantom 3 sahil」，

「time」：「07.05.2018 17:30:25」

}

]

}

惡意軟體保護

0day惡意軟體利用複雜的逃避技術，這些技術常常繞過現有保護措施。儘管有多種安全解決方案，但Radware並未在一個保護良好的網路中發現Nigelify。Radware的機器學習演算法分析了該組織的通信日誌，將多個指標相關聯，並阻止了受感染機器的C2訪問。Radware的雲惡意軟體保護服務提供了多種功能。

?使用機器學習演算法檢測新的0day惡意軟體

?通過與現有的保護機制和防禦層整合來阻止新的威脅

?報告組織網路中惡意軟體感染的企圖

?審核針對新漏洞利用和防禦漏洞的防禦措施

隨著惡意軟體的傳播，組織將繼續嘗試尋找新的方法來利用被盜的資產。這些組織將會不斷地製造新的惡意軟體來繞過安全控制。Radware推薦個人和組織更新他們的密碼，並且只從可信的來源下載應用程序。

妥協指標

這些瀏覽器擴展已經被報告給適當的一方，並且它們已被刪除。

譯文聲明

本文是翻譯文章，文章原作者，文章來源：https://blog.radware.com

原文地址：https://blog.radware.com/security/2018/05/nigelthorn-malware-abuses-chrome-extensions/

作者：threst

推薦閱讀：