• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:396

瀏覽器外掛中，廣告攔截程式(Ad blocker)在幫助用戶安全瀏覽網路發揮重要的作用，同時不會因為在關閉彈出式廣告而被重導向到用垃圾郵件轟炸用戶的詐騙網站。

目前在桌上型電腦和移動設備上有超過10億人正在使用的Chrome瀏覽器，在資安公司研究報告中揭露，Chrome瀏覽器就像是大量偽冒外掛程式的集散地，尤其是惡意的廣告攔截器，根據說法，由於Chrome網路商店的安全性管控不佳，目前有超過2000萬的Chrome用戶在其瀏覽器上安裝了偽造的廣告攔截器外掛程式。

這些偽冒外掛程式的主要例子之一就是擁有超過1000萬用戶的Google Chrome瀏覽器外掛「AdRemover」。在進一步的檢查中，Adguard研究人員發現了兩個包含混淆腳本的.txt檔案，可以追蹤由受害者瀏覽器發出的每個request。

研究人員將其標記為一個由數百萬個受感染瀏覽器所組成的「natural botnet」，它可以或已經被用來竊取Chrome用戶的個人資料，並將其發送到疑似命令與控制伺服器心(C&C)。

這個隱藏的腳本除監聽瀏覽器發出的請求外，並以MD5(url +"％Ujy％BNY0O")比較從coupons.txt加載的簽名列表。當所述簽名被命中時，便從domaing.qyz.sx加載一個iframe，傳遞被訪問頁面的相關資訊，然後重新初始化該外掛。例如，其中一個簽名與https://www.google.com/相對應

此外，Chrome網路商店上還有其他四款假廣告攔截器遵循與AdRemover外掛程式相同的模式。偽冒的惡意Adblockers列表如下：
Webutation(目前由超過30,000名用戶安裝)
HD for YouTube(目前由超過40萬用戶安裝)
Adblock Pro(目前由超過200萬用戶安裝)
uBlock Plus(目前由超過800萬用戶安裝)
Google Chrome的AdRemover(目前由超過1000萬用戶安裝)

●該資安公司已經向Google通知Chrome網路商店上存在惡意Adblockers的情況，但是在發佈時，所有上述外掛程式仍可安裝使用。因此，如果用戶正在使用這些Adblocker中的任何之一，建議立即移除以免遭駭客利用。

參考連結：

https://www.hackread.com/20-million-chrome-users-have-installed-fake-malicious-ad-blockers/
https://blog.adguard.com/en/over-20-000-000-of-chrome-users-are-victims-of-fake-ad-blockers/