专家发现ABCsoup广告活动中使用的350种浏览器扩展变体

一个包含350个变体的恶意浏览器扩展伪装成谷歌翻译插件，作为针对俄罗斯用户的谷歌浏览器、Opera和Mozilla Firefox浏览器广告活动的一部分。

移动安全公司Zimperium称其为恶意软件家族ABC组，声明“扩展通过基于Windows的可执行文件安装到受害者的机器上，绕过大多数端点安全解决方案，以及官方扩展存储中的安全控制。”

流氓浏览器插件的扩展ID与Google Translate#8212相同，“aapbdbdomjkjkaonfhkfgjllcleb”—；试图欺骗用户相信他们安装了合法的扩展。

这些扩展在官方浏览器网络商店本身上不可用。相反，它们是通过在受害者的web浏览器上安装插件的不同Windows可执行文件交付的。

如果目标用户已经安装了Google Translate扩展，由于版本号较高（30.2.5与2.0.10），它会用恶意变体替换原始版本。

Zimperium研究员Nipun Gupta说：“此外，当安装了这个扩展时，Chrome网络商店会假设它是Google Translate，而不是恶意扩展，因为网络商店只检查扩展ID”。

所有观察到的扩展版本都面向弹出窗口服务、收集个人信息以提供特定于目标的广告、指纹搜索，以及注入恶意JavaScript，这些JavaScript可以进一步充当间谍软件来捕捉击键和监视web浏览器活动。

ABCsoup的主要功能是在浏览器中打开的当前网站中检查俄罗斯社交网络服务，如Odnoclassniki和VK，如果是，则收集用户的名字和姓氏、出生日期和性别，并将数据传输到远程服务器。

恶意软件不仅使用这些信息来服务个性化广告，该扩展还具有根据打开的网站注入自定义JavaScript代码的功能。这包括YouTube、Facebook、ASKfm和Mail、ru、Yandex、Rambler、Avito、Brainly的Znanija、Kismia和rollApp，暗示着对俄罗斯的高度关注。

Zimperium将此次活动归因于一个东欧和俄罗斯血统的“组织良好的团队”，考虑到本地域名的多样性，扩展旨在挑出俄罗斯用户。

古普塔说：“这种恶意软件旨在针对各种用户，并用于检索用户信息”。“注入的脚本可以很容易地用于在浏览器会话中提供更多恶意行为，例如击键映射和数据过滤”。