200000名Roblox玩家安装了后门Chrome扩展程序-VPS资讯_海外云服务器资讯_海外服务器资讯

谷歌浏览器

超过 200,000 名用户安装的 Chrome 浏览器扩展程序“SearchBlox”被发现包含一个后门，可以窃取您的 Roblox 凭据以及您在 Roblox 交易平台 Rolimons 上的资产。

BleepingComputer 已经能够分析表明存在后门的扩展代码，后门可能是由其开发人员有意引入的，也可能是在妥协之后引入的。

Chrome 扩展程序针对 Roblox 玩家

BleepingCompuer 观察到，在 Chrome 网上应用店中发现的“SearchBlox”扩展程序似乎受到了损害。

Chrome 上的“SearchBlox”有两个搜索结果。这些扩展程序声称可以让你“在 Roblox 服务器上搜索所需的玩家……非常快”，但两者都包含后门。

这些不安全扩展的 ID 是：

周三清晨，Roblox 社区成员怀疑 SearchBlox 包含恶意软件。

“流行的插件 SearchBlox 已被入侵/后门 – 如果你有它，你的帐户可能会面临风险，” 非官方 Roblox 新闻和社区帐户 RTC发推文说。

“请更改您的密码（如果有）和凭据，这样您的帐户就会再次安全。”

我们下载了 Chrome 扩展程序进行分析，对于超过 200,000 名用户下载的第一个扩展程序 (blddohgncmehcepnokognejaaaahehncd)，后门存在于“content.js”文件的第 3 行：

对于只有 959 次下载的第二个扩展 (ccjalhebkdogpobnbdhfpincfeohonni)，后门位于“button.js”文件中。

在任何一种情况下，有问题的 URL 都是：

hxxps://searchblox[.]site/image.png/image.txt

好像 URL 结构“image.png/image.txt”本身并不有趣，该页面包含假装使用“<img>”标签显示图像的 HTML 代码，而是加载经过进一步编码的混淆 JavaScript作为HTML 字符实体（使用“&”和“#”符号）：

解码后的代码会产生混淆代码，该代码似乎进一步将 Roblox 凭据泄露到另一个域： releasethen.site。

值得注意的是，“searchblox.site”和“releasethen.site”都是本月注册的，并且共享一个共同的网络主机 Hostinger。

该代码似乎还会调查玩家在 Roblox 交易平台 Rolimons.com 上的个人资料。鉴于今天平台上的帐户暂停，此详细信息变得相关，如下一节所述。

不幸的是，这似乎也不是第一次针对 Roblox 用户的恶意“SearchBlox”扩展。

据报道，在 10 月，谷歌至少从2022 年 6 月 28 日起关闭了 Chrome 网上应用店中的另一个“SearchBlox” 。

至于后门是在威胁行为者妥协后注入到扩展中，还是由开发人员故意引入，尚待权威确定。

Roblox 社区成员 [ 1 , 2 , 3 , 4 ] 有一些猜测，他们注意到用户“Unstoppablelucent”（据称是该扩展程序的开发者）的库存在一夜之间成倍增加，而 Rolimons 用户“ccfont” 今天因可疑的库存交易而被终止。

在撰写本文时，扩展程序和违规 URL都在 VirusTotal 中享有良好声誉，这使得检测这些恶意扩展程序变得更加困难。

可以说，任何安装了“SearchBlox”的人都应该立即删除该扩展程序，清除他们的 cookie，并更改他们在使用该扩展程序时可能登录的 Roblox、Rolimons 和其他网站的密码。

news.zzqidc.com在发布之前已将恶意扩展通知 Google。