安全公司Malwarebytes的研究人員近日對一款設(shè)計用于監(jiān)聽用戶上網(wǎng)行為的惡意Chrome擴(kuò)展程序進(jìn)行了深入調(diào)查,發(fā)現(xiàn)該惡意程序活動將會采用非常激進(jìn)的方式強(qiáng)迫用戶安裝包含有惡意程序的Chrome擴(kuò)展。攻擊者會先創(chuàng)建一個網(wǎng)站,不幸訪問該網(wǎng)站的用戶會收到持續(xù)不斷的彈窗來推薦用戶安裝惡意擴(kuò)展程序。如果用戶選擇關(guān)閉,則會繼續(xù)跳出另外一個。當(dāng)用戶將鼠標(biāo)移動至靠近瀏覽器URL或者關(guān)閉按鈕的時候就會出現(xiàn)更大的對話框,浮動在頂部,并且網(wǎng)站后臺會播放很嘈雜的聲音。
Malwarebytes團(tuán)隊分享了該惡意擴(kuò)展的演示,用戶在訪問網(wǎng)站之后強(qiáng)制要求安裝一款名為“iClac”已經(jīng)在Google的Web Store上線的擴(kuò)展程序。一旦安裝了該擴(kuò)展,并沒有如名稱一樣具備計算器功能,但是研究人員發(fā)現(xiàn)iCalc會秘密的設(shè)置一個代理,從通過一個遠(yuǎn)程服務(wù)器來重定向所有的瀏覽器流量。
Malwarebytes已經(jīng)向谷歌報告了該擴(kuò)展程序,目前安裝量沒有超過1000個,那些不知道通過任務(wù)管理器來關(guān)閉Chrome進(jìn)程的用戶可能會繞進(jìn)攻擊者設(shè)計的死胡同中。目前谷歌已經(jīng)移除了該應(yīng)用程序,而該惡意程序活動的作者已經(jīng)開始推送另外的惡意擴(kuò)展,不過目前這些受影響區(qū)域僅限于俄羅斯用戶。