一、背景

近日，在進行日常樣本捕獲過程當中發(fā)現(xiàn)一假冒的 Google Chrome 安裝程序，攜帶“上海都點網(wǎng)絡科技有限公司”有效數(shù)字簽名，如下圖所示：

該樣本來源于某假冒 Google Chrome 下載的惡意網(wǎng)站（chrome[.]jshkck[.]cn），該網(wǎng)站為了躲避安全分析研究人員的分析，其加載的加密js r.js會使得瀏覽器的F12審查元素無法正常工作，如下圖所示：

并且發(fā)現(xiàn)，如果將r.js進行阻斷，或使用查看網(wǎng)頁源代碼的方式查看下載URL，得到的下載URL與直接下載得到的URL與文件名稱并不相符，如下圖所示（左圖正常訪問下載，中圖阻斷干擾調(diào)試的r.js進行下載，右圖為網(wǎng)頁源代碼）：

可以顯而易見地看到，只有正常下載時才會下載得到帶有數(shù)字文件名稱的惡意安裝程序
并且在無cookies的情況下，該鏈接無法被訪問，如下圖所示：

同時還發(fā)現(xiàn)每次下載時該鏈接與下載文件名稱當中的數(shù)字不一定會相同，如下圖所示：

測試時環(huán)境下三次下載得到的文件 Hash 值，如下圖所示：

我們發(fā)現(xiàn)該網(wǎng)站被收錄于Bing必應搜索當中，如下圖所示：

二、樣本行為
運行樣本后，程序會使用惡意拓展鎖定 Microsoft edge 與 Google Chrome 的瀏覽器主頁、新標簽頁和搜索跳轉(zhuǎn)頁面，如下圖所示：

惡意拓展相關(guān)信息，如下圖所示：

惡意拓展相關(guān)代碼，如下圖所示：

惡意程序釋放惡意拓展與惡意模塊部分過程，如下圖所示：

該樣本還存在復制cmd.exe執(zhí)行行為的行為，尚不清楚作用是什么，存在較高的安全風險與安全隱患，如下圖所示：

樣本檢出率僅1家，如下圖所示：

我們發(fā)現(xiàn)了多個同源樣本，如下圖所示：

該家族樣本使用多個惡意拓展與惡意模塊，其網(wǎng)站對調(diào)試器進行干擾與欺騙，強制鎖定用戶瀏覽器主頁、標簽頁、搜索結(jié)果頁，用戶很難手動改回，且對用戶的其他瀏覽器進行同樣的操作，已嚴重越界，手法與木馬病毒無異。

三、搜索引擎隨機取樣
既然該網(wǎng)站收錄于Bing必應搜索引擎，我們在該搜索引擎當中隨機取樣。當搜索“谷歌瀏覽器”為關(guān)鍵詞時，頁面頂端出現(xiàn)了許多廣告，我們?nèi)∑渲心硞€廣告（bb[.]yiliwl[.]top）與在廣告下面的第一個搜索結(jié)果對象（chrome[.]xahuapu[.]net）進行下載，如下圖所示：

這兩個網(wǎng)站域名下載得到的文件 Hash 完全一致

樣本文件數(shù)字簽名，廈門騰瑞科技有限公司，如下圖所示：

其安裝完成后的 Chromium 內(nèi)核瀏覽器（非Google Chrome）同樣被捆綁了主頁、書簽和廣告圖標，如下圖所示：

不過可以肯定的是，該樣本首頁和標簽用戶可以手動修改回來，且并未使用惡意拓展的方式，不會涉及用戶的其他瀏覽器。

四、總結(jié)
瀏覽器已離不開我們的生活，許多用戶喜歡去各大搜索引擎下載瀏覽器，下載時用戶務必要擦亮眼睛，避免造成不必要的麻煩，給他人暗刷廣告流量。