廣告程式為瀏覽器擴充程式的最大威脅

資安業者卡巴斯基(Kaspersky)指出,今年上半年總計有超過130萬不重複使用者受到藏匿於瀏覽器擴充程式中的廣告/惡意程式的攻擊,當中光是遇見廣告程式攻擊的就超過100萬。

 

大多數的瀏覽器用戶都會使用擴充程式來增加瀏覽器的功能,只是即使有些擴充程式原本是良性的,若在累積了一定數量的用戶之後,可能將它出售給其它開發者,繼之被嵌入惡意或廣告功能。例如2017年時有一個可用來變更YouTube介面的Particle,在擁有逾3萬名使用者之後出售,新開發者旋即把它變成廣告程式。

 

廣告程式一直是瀏覽器上最普及的垃圾程式,今年上半年也有超過100萬的使用者遭遇到廣告程式,最常見的是WebSearch廣告程式家族。WebSearch通常會假冒為文件工具,例如文件合併工具或DOC/PDF轉換器等,但當使用者安裝之後,它卻會變更瀏覽器的起始頁面,將它切換成由一個無名搜尋引擎與多個第三方資源連結組成的首頁,也會變更瀏覽器的預設搜尋引擎,目的都是在替開發者增加廣告營收。

 

第二款常見的廣告程式為DealPly家族,它並不是由使用者自行下載與安裝的,絕大多數是在使用者企圖下載破解軟體時,不經意被感染的,它同樣也會變更瀏覽器的起始頁面與預設搜尋引擎。

 

至於AddScript則多半隱藏在具有真正功能的擴充程式中,只是它會在背景與駭客所控制的C&C伺服器交流,接收並執行惡意的JavaScript,有時會偷偷播放影片,目的也是獲取廣告利潤,受害者唯一可察覺的跡象可能是裝置的處理器用量突然飆高。

 

除了上述3款廣告程式家族之外,FB Stealer亦被卡巴斯基列為今年最危險的擴充程式威脅之一,它的主要任務為竊取使用者的臉書憑證,上半年有超過3,000名使用者遭到相關攻擊。

 

不過,與DealPly一樣,FB Stealer並非由使用者自行安裝的,也是藏匿在破解軟體的安裝程式中,一旦被加到瀏覽器,它便會偽裝成Google翻譯(Google Translate)擴充程式,接著變更瀏覽器的設定及預設搜尋引擎,並竊取使用者存放於瀏覽器上的臉書使用期間(Facebook Session)Cookie,而得以挾持臉書用戶的帳號。

 

卡巴斯基建議使用者只從可靠來源下載軟體,也應小心應對擴充程式所提出的權限請求,限制擴充程式數量並定期刪減無用程式,或是選擇安裝安全解決方案。

(相關資訊來自iThome