研究人员周四表示，超过500个浏览器扩展从谷歌的Chrome网络商店中下载了数百万次，这些扩展偷偷地将私人浏览数据上传到攻击者控制的服务器上。

独立研究人员贾米拉·卡亚(Jamila Kaya)发现，这些扩展是一项长期的恶意广告和广告欺诈计划的一部分。她和来自cisco旗下Duo Security的研究人员最终确定了71个Chrome网络商店扩展，安装数量超过170万。在研究人员私下向谷歌报告他们的发现后，该公司确定了超过430个额外的扩展。谷歌已经删除了所有已知的扩展。

Kaya和Duo Security的Jacob Rickerd在一份报告中写道:“在这里所报道的案例中，Chrome扩展的开发者特意做了一些扩展，混淆了用户的潜在广告功能。”“这样做是为了将浏览器客户端连接到一个命令和控制架构，在用户不知情的情况下窃取隐私浏览数据，通过广告流让用户暴露于被利用的风险，并试图逃避Chrome网络商店的欺诈检测机制。”

这些扩展主要是作为提供各种推广和广告服务的工具。事实上，他们通过将受感染的浏览器在一个模糊的迷宫中移动，进行广告欺诈和恶意宣传。每个插件首先连接到一个使用与插件相同名称的域(例如:Mapstrek[)。[.]com或ArcadeYum[.]com)来检查是否卸载自己的指示。

然后插件将浏览器重定向到少数几个硬编码的控制服务器之一，以接收额外的指令、上传数据的位置、广告提要列表和用于未来重定向的域。受感染的浏览器然后上传用户数据，更新插件配置，并通过网站重定向流。

周四的报告继续说:

用户经常收到新的重定向域，因为它们是批量创建的，多个较早的域是在同一天和同一小时创建的。它们都以相同的方式运行，从主机接收信号，然后将其发送到一系列的广告流，然后发送到合法和非法的广告。其中一些被列在IOCs的“End domains”部分，尽管它们数量众多，难以列出。

许多重新定向导致了梅西百货、戴尔和百思买产品的良性广告。什么使方案恶意和虚假是(a)的大量广告内容(多达30重定向在某些情况下),(b)从终端用户,大多数广告的故意隐瞒和(c)的使用广告定向流发送感染恶意软件和网络钓鱼网站的浏览器。与插件站点相关的两个恶意软件样本是:

除了一个网站外，该计划中使用的所有网站之前都没有被威胁情报机构归类为恶意或欺诈。唯一的例外是密苏里州，它将DTSINCE[。[]com，为数不多的硬编码控制服务器之一，用作钓鱼网站。

研究人员发现，有证据表明，该活动至少从2019年1月就开始了，而且发展迅速，尤其是从3月到6月。这些运营商的活跃时间可能要长得多，最早可能在2017年。

尽管这500个插件看起来各不相同，但它们都包含几乎相同的源代码，只是函数名不同，函数名是惟一的。Kaya在CRXcavator的帮助下发现了这些恶意插件，CRXcavator是一个评估Chrome扩展安全性的工具。它是由Duo Security开发的，去年免费提供。几乎所有的插件都没有用户评价，这使得研究人员无法确定这些插件是如何安装的。谷歌感谢研究人员报告了他们的发现。

周四的报告列出了71个恶意扩展，以及它们的相关域名。经过长时间的实践，谷歌没有识别出它在自己的调查中发现的任何扩展或域。拥有其中一个插件的计算机收到一个弹出通知，说它已经“自动禁用”。点击链接的人会收到一个红色警告:“该扩展包含恶意软件。”

发现更多恶意和欺诈的浏览器扩展提醒人们，在安装这些工具时应该谨慎，只有在它们提供真正的好处时才使用它们。阅读用户评论来检查可疑行为的报告总是一个好主意。人们应该经常检查他们不认识或者最近没有使用过的扩展，然后删除它们。