惡意劫持瀏覽器「投毒」,360安全大腦獨家揭秘幕後「真兇」

想看的網頁被遮擋、想買的商品被隱藏，甚至還可能暗藏惡意插件，稍不留神就會被盜取個人信息……惡意瀏覽器廣告正威脅著廣大網友的隱私及財產安全。

近期，360政企安全反病毒中心接到大批用戶反饋，稱訪問網站被插入廣告且部分無法關閉。經360安全大腦分析發現，此次事件是由瀏覽器惡意擴展劫持攻擊，以及某壓縮軟體將廣告附加到瀏覽器標籤頁所導致。

長期以來，瀏覽器惡意擴展主要是虛假產品主頁通過搜尋引擎競價排名吸引流量，進而推廣惡意下載器軟體所致。一旦下載安裝此類軟體，啟動後便會在靜默狀態下，向瀏覽器安裝惡意擴展以劫持瀏覽器，而被推廣的擴展則由此通過雲控，在用戶訪問的其它網站中插入廣告、並劫持跳轉超過5000個網站。不過廣大用戶無需過分擔心，在360安全大腦的極智賦能下， 360安全衛士可快速查殺此類威脅，清掃瀏覽器廣告中潛藏的「毒瘤」。

劫持網頁放毒搶流量

360安全大腦數據顯示，截止目前累計已有數十萬用戶受到影響。而在對反饋情況進行分析後，360安全大腦發現此次遭遇瀏覽器惡意擴展劫持攻擊的用戶，多在搜尋引擎中搜索過一些較為熱門的軟體。

而某些惡意網站便會通過搜尋引擎的競價排名機制，購買熱詞吸引流量，以此將用戶誘導到自己搭建的虛假主頁上。

而虛假主頁中所下載的軟體，則是帶有廣告程序的惡意軟體。

下載器執行時會從服務端下載惡意擴展壓縮包，並強行結束瀏覽器進程然後釋放到擴展相關目錄並修改瀏覽器配置文件進行擴展的安裝：

該擴展代碼進行了大量混淆：

進行去混淆後，可知其具備網站劫持（主要劫持淘寶客、搜索、私服等網站）、插入廣告等功能，並且執行的策略規則都是在線雲控：

劫持策略規則還使用AES算法加密和 Base64編碼。

分析人員將加密數據還原出來後，可見劫持規則如下：

其中被劫持的私服網站竟多達4961個：

運行後，會在其它網站中插入廣告，且不提供關閉按鈕：

霸屏彈窗廣告以假亂真

進一步分析後，360安全大腦發現除上述中招情形外，在部分受害用戶的機器上，彈窗相關進程已被通過RC4加密的參數控制。

對樣本參數進行解密，具體如下所示：

-project=kuaizip

-adurl=http://ssp.7654[.]com/tray

-qid=kuaizip

-ad=kuaiya_yptips_1

-countdown=30

-attachbrowser=true

-showadmark=true

-killprocess=60

-dlldata=logo_yptips

-configurl=http://down1.7654browser.shzhanmeng[.]com/tui/yptips/intervals.json

-closebuttonjsonurl=http://tips.glzip[.]com/n/tui/yptips/yptips.json

-countdown=60

-reportprefix=yptips-1

360安全大腦深入分析後發現，參數對此類廣告進行的各種設置，具體包括是否附加到瀏覽器、是否顯示來源、倒計時自動關閉、加載dll數據、連接雲控json控制的開始時間以及觸發的時間間隔等。

其中命令行參數「-dlldata= logo_yptips」會對指定的模塊進行logo_yptip加載，該模塊都被加密後寫入Gif數據，並被存放在註冊表中，執行的時候創建遠程線程執行此段shellcode，最終由shellcode加載起YpTips.dll並調用導出函數e開始執行彈窗相關操作：

此外，因「-attachbrowser=true」參數被設置為打開狀態，所以彈出的廣告會被附加到瀏覽器活動標準頁窗口上，以假亂真仿冒瀏覽器頁面廣告。具體彈窗效果如下圖所示：

360安全大腦還你清淨瀏覽器

瀏覽器廣告「泛濫」，木馬植入、信息詐騙、強制消費等安全隱患接踵而至，汙染網絡環境之餘，不僅侵犯了用戶選擇權，更嚴重威脅著網絡安全。而在發現此類威脅後，360安全大腦極速出擊，極智賦能360安全衛士，實現可在第一時間查殺此類惡意軟體，保護廣大用戶上網安全。

此外，瀏覽器作為網際網路最重要的入口之一，堪稱政企辦公的重要場景。而面對強勢來襲的惡意軟體和擴展威脅，360政企安全反病毒中心針對廣大政企多端用戶，給出如下安全建議：

1.建議用戶選擇正規渠道安裝軟體，以免自己的電腦成為不法分子控制劫持的工具；

2.如發現瀏覽器被插入惡意廣告或訪問正常網站出現自動跳轉到帶計費連結的網站時儘快使用安全軟體進行查殺；

3.如瀏覽器支持，請開啟瀏覽器的「自動停用來源不明的擴展」功能。

附錄

部分擴展ID（部分名稱為偽裝）

fcahamiicfebpelbggpdjnolnoinimem

eeeoblhffniamgejemaladfhibjiicdp

dgdnmfccfomgnaeipcpkigpofpfhkmnk

bjdlfjomcjcaobkgdhfbnafkdbhpbjia

kbgoekedgkjckjbgngcgnfofnibfibhd

cdlkigdinekjphniiikllpimpfibljla

gmncddhbbfkjkcffhhbjgfjcfcfbileh

phnompbmndfjfdhcckblollfoipcgnbf

npolpagifegogmgcbpeogeiahjjigibm

pacfadfnhfkijmiacjflgdgconhhfjfm

moalihdkojhlkmdfjhlcakelngkiipln

fabpcgbcmpkjfneobkfcckfeamiaoidb

kpiomiebgaaoheanbeinnkeidfdnekkm

oagdkhmnlmhmhnhkgboembifjkkbmkhl

gpkgjgiaimkoechjbdfaakmjpeoaoani

emhjojjbglkfopinkcpipcbfihehljoo

impjhdnlcphjmhfchpjeomplfdllimkb

omapfdkaloophlpaaiapohjinekildhm

ncadgjloklpmlblhciofgpmhaodpbhmg

bbalkplkepokcbhaeigcbifhceiffnac

dedaccoeanofpnibpflegcageagehpde

occhecfbiehogeebddncjaammkclffao