火绒安全软件

安全技术探讨
发新帖
打印 上一主题 下一主题

重磅,假冒 Google Chrome 安装程序劫持用户浏览器主页

[复制链接]
5100 4
楼主
发表于 2023-5-27 12:14:45 | 只看该作者 |只看大图 |倒序浏览 |阅读模式
跳转到指定楼层
一、背景

近日,在进行日常样本捕获过程当中发现一假冒的 Google Chrome 安装程序,携带“上海都点网络科技有限公司”有效数字签名,如下图所示:


该样本来源于某假冒 Google Chrome 下载的恶意网站(chrome[.]jshkck[.]cn),该网站为了躲避安全分析研究人员的分析,其加载的加密js r.js会使得浏览器的F12审查元素无法正常工作,如下图所示:


并且发现,如果将r.js进行阻断,或使用查看网页源代码的方式查看下载URL,得到的下载URL与直接下载得到的URL与文件名称并不相符,如下图所示(左图正常访问下载,中图阻断干扰调试的r.js进行下载,右图为网页源代码):

可以显而易见地看到,只有正常下载时才会下载得到带有数字文件名称的恶意安装程序
并且在无cookies的情况下,该链接无法被访问,如下图所示:


同时还发现每次下载时该链接与下载文件名称当中的数字不一定会相同,如下图所示:


测试时环境下三次下载得到的文件 Hash 值,如下图所示:


我们发现该网站被收录于Bing必应搜索当中,如下图所示:



二、样本行为
运行样本后,程序会使用恶意拓展锁定 Microsoft edge 与 Google Chrome 的浏览器主页、新标签页和搜索跳转页面,如下图所示:


恶意拓展相关信息,如下图所示:


恶意拓展相关代码,如下图所示:


恶意程序释放恶意拓展与恶意模块部分过程,如下图所示:


该样本还存在复制cmd.exe执行行为的行为,尚不清楚作用是什么,存在较高的安全风险与安全隐患,如下图所示:


样本检出率仅1家,如下图所示:


我们发现了多个同源样本,如下图所示:


该家族样本使用多个恶意拓展与恶意模块,其网站对调试器进行干扰与欺骗,强制锁定用户浏览器主页、标签页、搜索结果页,用户很难手动改回,且对用户的其他浏览器进行同样的操作,已严重越界,手法与木马病毒无异。

三、搜索引擎随机取样
既然该网站收录于Bing必应搜索引擎,我们在该搜索引擎当中随机取样。当搜索“谷歌浏览器”为关键词时,页面顶端出现了许多广告,我们取其中某个广告(bb[.]yiliwl[.]top)与在广告下面的第一个搜索结果对象(chrome[.]xahuapu[.]net)进行下载,如下图所示:


这两个网站域名下载得到的文件 Hash 完全一致

样本文件数字签名,厦门腾瑞科技有限公司,如下图所示:


其安装完成后的 Chromium 内核浏览器(非Google Chrome)同样被捆绑了主页、书签和广告图标,如下图所示:


不过可以肯定的是,该样本首页和标签用户可以手动修改回来,且并未使用恶意拓展的方式,不会涉及用户的其他浏览器。

四、总结
浏览器已离不开我们的生活,许多用户喜欢去各大搜索引擎下载浏览器,下载时用户务必要擦亮眼睛,避免造成不必要的麻烦,给他人暗刷广告流量。

回复

使用道具 举报

5100 4
沙发
发表于 2023-5-27 12:31:38 | 只看该作者
诶唷嘿,这怎么和我之前的调查贴都是同一个公司,只不过当时用户谷歌浏览器安装包删了,没得获取样本,感谢让我看到后续
回复

使用道具 举报

5100 4
板凳
发表于 2023-5-27 13:56:56 | 只看该作者
来踩踩哦 欢迎发布更多分析处理帖子
回复

使用道具 举报

5100 4
地板
发表于 2023-6-5 20:42:21 | 只看该作者
所以,这个要怎么处理呢?
回复

使用道具 举报

5100 4
5#
发表于 2023-6-23 13:51:09 | 只看该作者
所以我下载浏览器的时候都是搜索xx浏览器官网
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表