相信有不少人使用過 Google Chrome 中的擴充程式,以增加瀏覽器功能令工作變得更方便。但是早前,有網絡安全公司發現並報告稱,在 Google Chrome Web Store 上出現了一些惡意瀏覽器擴充功能的跡象,其中包括 netPlus、netSave 和 netWin。這三個擴充功能冒充 VPN,而擴充功能更被達到 150 萬次下載。受害者主要位於俄羅斯、烏克蘭、哈薩克斯坦、白俄羅斯等國家,表明這一活動似乎針對俄語使用者。
網絡安全公司 ReasonLabs 表明,這些惡意擴展是通過隱藏在盜版遊戲中的安裝程序傳播的,這些遊戲包括《GTA》、《刺客教條》和《模擬市民 4》,並通過 Torrent 種子網站分發。在 ReasonLabs 的通報下,Google 已從 Chrome 網上應用店中移除了這些「惡意插件」。
ReasonLabs 發現了該 VPN 擴展的安裝是自動且強制的,無需用戶參與或在受害者端採取任何行動。最終,安裝程序會檢查感染機器上的防病毒產品,然後分別在 Google Chrome 和 Microsoft Edge 上安裝 netSave 和 netPlus,涵蓋兩種使用情況。而這些惡意擴充功能的開發者,會提供了一些 VPN 功能以及付費訂閱層級,以假亂真。
然而,這三個擴充功能都濫用了「離屏」權限,透過離屏 API 運行,存取網頁的當前DOM,進而竊取用戶的個人資料。插件還可以劫持瀏覽器、操控網絡請求,甚至自動停用其他擴充功能。不過,我們該如何防止安裝惡意插件呢?基於此,建議用戶定期檢查瀏覽器中已安裝的擴展程序,同時在 Chrome 網上應用商店查看新評論,以了解其他用戶是否報告了惡意行為。
