你可能会觉得自己在网上已经很小心了,但其实有个叫Stanley的新黑产正在盯上你,它专门拿那些看起来没问题的浏览器扩展做文章。最近国际数据安全公司Varonis就发现了一个大新闻,这种叫Malware-as-a-Service(MaaS)的恶意服务,公然吹嘘自己做的Chrome扩展能绕过谷歌审核,混进Chrome商店去害人。这还不止,它不光能在Chrome里装,还能在Edge、Brave这些用Chromium内核的浏览器里跑。 他们搞钱的手段其实也不复杂,主要靠的是老技术堆在一起。研究人员发现,Stanley的扩展会在用户看正常网站的时候偷偷加载一个全屏的iframe,地址栏看着还是原来的样子,但实际显示的页面早就被换成钓鱼网站了。这种“偷梁换柱”的手法太狡猾,很容易让人掉以轻心。 更吓人的是它的服务模式。Stanley给坏人提供收费套餐,甚至连帮你做扩展、混淆代码、帮你过审核这种全套服务都有。它还给客户管理面板,让攻击者可以随时改规则、发推送,还能根据IP地址挑地方下手。这种“一站式”犯罪大大降低了门槛,连没什么技术的人都能发起高效攻击。 在技术细节上,Stanley的代码做得很糙,注释里还有俄文错别字。不过它也有个本事,就是每10秒就会往服务器发个指令,万一被封了还能换个备用域名继续干。 这种事以前也不是没发生过。赛门铁克(Symantec)这些机构都报告过类似情况。现在的商店审核还是有漏洞的,坏人利用自动化提交和伪装手法钻空子。 所以光靠平台方把关是不够的。我们自己得提高警惕,不要随便装扩展。只有大家都小心点,加上平台加强技术、安全公司多交流、平台下架速度快一点,才能把这个坏人一网打尽。