重磅，假冒 Google Chrome 安装程序（携带有效数字签名）劫持用户浏览器主页

ahov

一、背景

近日，在进行日常样本捕获过程当中发现一假冒的 Google Chrome 安装程序，携带“上海都点网络科技有限公司”有效数字签名，如下图所示：


该样本来源于某假冒 Google Chrome 下载的恶意网站（chrome[.]jshkck[.]cn），该网站为了躲避安全分析研究人员的分析，其加载的加密js r.js会使得浏览器的F12审查元素无法正常工作，如下图所示：


并且发现，如果将r.js进行阻断，或使用查看网页源代码的方式查看下载URL，得到的下载URL与直接下载得到的URL与文件名称并不相符，如下图所示（左图正常访问下载，中图阻断干扰调试的r.js进行下载，右图为网页源代码）：

可以显而易见地看到，只有正常下载时才会下载得到带有数字文件名称的恶意安装程序
并且在无cookies的情况下，该链接无法被访问，如下图所示：


同时还发现每次下载时该链接与下载文件名称当中的数字不一定会相同，如下图所示：


测试时环境下三次下载得到的文件 Hash 值，如下图所示：


我们发现该网站被收录于Bing必应搜索当中，如下图所示：


二、样本行为
运行样本后，程序会使用恶意拓展锁定 Microsoft edge 与 Google Chrome 的浏览器主页、新标签页和搜索跳转页面，如下图所示：


恶意拓展相关信息，如下图所示：


恶意拓展相关代码，如下图所示：


恶意程序释放恶意拓展与恶意模块部分过程，如下图所示：


该样本还存在复制cmd.exe执行行为的行为，尚不清楚作用是什么，存在较高的安全风险与安全隐患，如下图所示：


样本检出率仅1家，如下图所示：


我们发现了多个同源样本，如下图所示：


该家族样本使用多个恶意拓展与恶意模块，其网站对调试器进行干扰与欺骗，强制锁定用户浏览器主页、标签页、搜索结果页，用户很难手动改回，且对用户的其他浏览器进行同样的操作，已严重越界，手法与木马病毒无异。

三、搜索引擎随机取样
既然该网站收录于Bing必应搜索引擎，我们在该搜索引擎当中随机取样。当搜索“谷歌浏览器”为关键词时，页面顶端出现了许多广告，我们取其中某个广告（bb[.]yiliwl[.]top）与在广告下面的第一个搜索结果对象（chrome[.]xahuapu[.]net）进行下载，如下图所示：


这两个网站域名下载得到的文件 Hash 完全一致

样本文件数字签名，厦门腾瑞科技有限公司，如下图所示：


其安装完成后的 Chromium 内核浏览器（非Google Chrome）同样被捆绑了主页、书签和广告图标，如下图所示：


不过可以肯定的是，该样本首页和标签用户可以手动修改回来，且并未使用恶意拓展的方式，不会涉及用户的其他浏览器。

四、总结
浏览器已离不开我们的生活，许多用户喜欢去各大搜索引擎下载浏览器，下载时用户务必要擦亮眼睛，避免造成不必要的麻烦，给他人暗刷广告流量。

Pojawa

类似的网站我收集了很多，基本都是同一个套路同一种特征：
伪装成官网，域名多是随机域名或者签名公司域名；
多个不同的空壳公司同一套流氓载体；
旗下可能有更多广为人知的流行软件的假冒站点（以本次chrome为例，chrome.xxxx.cn 换一下 firefox.xxxx.cn 就能看到这家下面的假冒火狐官网，其它软件类推）；
黑色产业链早已遍布各个领域，不仅仅假冒chrome，还有steam，windows，adobe，vscode，甚至是电脑管家，优化大师，全都是重灾区。
它们一个类别下大多被同一个黑手所垄断，还是以本次假冒的chrome为例，样本一与样本二虽然是不同公司，样本行为也不一致，但是如果一直追查下去，
顶部黑手大概率是同一个组织，只是分发给不同的空壳公司。广告id虽然不一定一致，但是最后的收益肯定流向同一个账户。

这种事情没有办法避免，就像楼主说的，擦亮眼睛警惕搜索出来的广告，不要去不信任的站点下任何东西。

813pojie

底线，在这片土地，几乎不存在

JMILOVEYOU

这厦门公司坏事做尽

xzw5

假冒 Google Chrome 安装程序?厉害，被lz逮个

shc1221

感谢分享，学习了

apull

李鬼太多了。还是官网下的靠谱。

mylivexie

江湖险恶啊

DryIce

有点哈人

kutwsswhere

还是应该要把握好下载的渠道

qqaoshi888

这种厂家最可恶了。。。

wenxiansc

楼主技术大佬。

nihaoz

我前几天就被劫持了  也是下载错了