安全企业卡巴斯基(Kaspersky)本周指出,今年上半年总计有超过130万不重复用户受到藏匿于浏览器扩展程序中的广告/恶意程序的攻击,其中光是遇见广告程序攻击的就超过100万。
大多数的浏览器用户都会使用扩展程序来增加浏览器的功能,只是即使有些扩展程序原本是良性的,若在累计了一定数量的用户之后,可能将它出售给其它开发者,之后被嵌入恶意或广告功能。例如2017年时有一个可用来变更YouTube接口的Particle,在拥有超过3万名用户之后出售,新开发者随即把它变成广告程序。
广告程序一直是浏览器上最普及的垃圾程序,今年上半年也有超过100万的用户遭遇到广告程序,最常见的是WebSearch广告程序家族。WebSearch(下图)通常会假冒为文件工具,例如文件整合工具或DOC/PDF转换器等,但当用户安装之后,它却会变更浏览器的起始页面,将它切换成由一个无名搜索引擎与多个第三方资源连接组成的首页,也会变更浏览器的默认搜索引擎,目的都是在替开发者增加广告营收。
图片来源/卡巴斯基
第二款常见的广告程序为DealPly家族,它并不是由用户自行下载与安装的,绝大多数是在用户企图下载破解软件时,不经意被感染的,它同样也会变更浏览器的起始页面与默认搜索引擎(下图)。
图片来源/卡巴斯基
至于AddScript则多半隐藏在具有真正功能的扩展程序中,只是它会在背景与黑客所控制的C&C服务器交流,接收并执行恶意的JavaScript,有时会偷偷播放视频,目的也是获取广告利润,受害者唯一可发现的迹象可能是设备的处理器用量突然飙高。
除了上述3款广告程序家族之外,FB Stealer也被卡巴斯基列为今年最危险的扩展程序威胁之一,它的主要任务为窃取用户的脸书凭证,上半年有超过3,000名用户遭到相关攻击。
不过,与DealPly一样,FB Stealer并非由用户自行安装的,也是藏匿在破解软件的安装程序中,一旦被加到浏览器,它便会伪装成Google翻译(Google Translate)扩展程序(下图),接着变更浏览器的设置及默认搜索引擎,并窃取用户存放于浏览器上的脸书使用期间(Facebook Session)Cookie,而得以挟持脸书用户的账号。
图片来源/卡巴斯基
卡巴斯基建议用户只从可靠来源下载软件,也应小心应对扩展程序所提出的权限请求,限制扩展程序数量并定期删减无用程序,或是选择安装安全解决方案。