揭秘Madgicx Plus恶意Chrome扩展：针对Meta广告商的网络攻击活动

Cybereason安全服务团队近期分析了一起广泛的恶意Chrome扩展活动调查，其中部分内容此前已被DomainTools记录。虽然该活动的早期版本涉及冒充各种服务，但最新版本通过新制作的诱饵“Madgicx Plus”（一个虚假的AI驱动广告优化平台）将焦点转向Meta（Facebook/Instagram）广告商。该扩展被宣传为使用人工智能简化活动管理和提高投资回报率的工具，但实际上提供了可能恶意的功能，能够劫持商业会话、窃取凭证并危害Meta商业账户。值得注意的是，与该活动早期部分相关的几个域名已被重新用于推广这一新主题，突显了操作者倾向于在调整其社会工程策略以适应新目标的同时回收利用基础设施。

关键要点

• 针对Meta广告商的持续活动：观察到一个新活动，恶意Chrome扩展通过冒充Meta（Facebook/Instagram）平台的AI驱动广告优化工具的网站进行分发。
• 虚假平台品牌“Madgicx Plus”：该活动使用与真实广告工具密切模仿的虚假品牌和营销语言，如“Madgicx Plus”，以诱使数字营销人员安装受感染的扩展。
• 通过虚假工具传递的恶意扩展：这些扩展被宣传为生产力或广告性能增强器，但它们作为双重用途的恶意软件运行，能够窃取凭证、访问会话令牌或启用账户接管。

分析

基础设施发现与域名分析

该活动的基础设施依赖于一个专业制作的域名网络来分发恶意Chrome扩展。尽管许多这些域名受到Cloudflare保护以隐藏其来源，但使用favicon哈希和Shodan等开源情报工具的进一步分析揭示了代理背后的真实IP地址。这种暴露使得能够识别相关域名、共享托管基础设施以及与活动早期阶段的连接。

诱饵网站分析

已识别出几个冒充Madgicx品牌的域名，推广虚假的“Madgicx Plus”平台作为潜在恶意Chrome扩展活动的一部分。Madgicx是一家合法的广告技术公司，以提供AI驱动工具优化Meta（Facebook和Instagram）广告活动而闻名，这使其成为冒充的令人信服的目标。重要的是，没有迹象表明Madgicx本身与此活动有关。相反，威胁行为者滥用其品牌作为诱饵以增加可信度并吸引受害者。调查还显示，先前与其他恶意扩展相关的域名已被重新用于传递虚假的Madgicx Plus站点，表明基础设施的连续性，并表明这可能是同一活动的演变，而非无关模仿者的工作。

Madgicx诱饵网站（针对META）：

• hxxps[:]//privacy-shield[.]world
• hxxps[:]//madgicxads[.]world
• hxxps[:]//madgicx-plus[.]com
• hxxps[:]//cookie-whitelist[.]com
• hxxps[:]//madgicxads[.]world
• hxxps[:]//ad-guardian[.]world
• hxxps[:]//ad-seeker.world
• hxxps[:]//safesurf[.]world
• hxxps[:]//siteanalyzer[.]world
• hxxps[:]//webinsight[.]world
• hxxps[:]//www.orchid-vpn[.]com
• hxxps[:]//www.key-stat[.]com
• hxxps[:]//www.clonewebstat[.]com
• hxxps[:]//www.flight-radar[.]life
• hxxps[:]//www.calendly-daily[.]com
• hxxps[:]//www.web-radar[.]world
• hxxps[:]//www.safesurf[.]world
• hxxps[:]//www.web-radar[.]world
• hxxps[:]//www.safesurf[.]world
• hxxps[:]//www.similarweb[.]one
• hxxps[:]//www.webwatch[.]world

示例： hxxps[:]//privacy-shield[.]world 诱饵网站推广madgicx扩展。 示例： https[:]//siteanalyzer[.]world 诱饵网站推广madgicx扩展。

viewdns.info显示Cloudflare服务背后的3个IP地址。

分析显示，www[.]web-radar[.]world 和 web-radar[.]world 解析到相同的Cloudflare IP地址，但显示不同的内容。这种差异不是由DNS重定向引起的，而是由基于Host头调整响应的服务器端逻辑引起的。进一步调查发现这种模式在活动中的其他域名中重复出现，www和非www变体提供不同的诱饵内容。这种配置允许操作者从同一基础设施运行多个主题页面，实现内容多样化，同时降低托管成本并使检测复杂化。

• Madgicx扩展由 www[.]web-radar[.]world 链接。
• 同一活动部分的Web Radar扩展由 web-radar[.]world 链接，并已从Chrome商店移除。

即使站点托管在Cloudflare后面，通过分析站点的托管资源，也可以识别导致源服务器IP地址的唯一工件。

恶意Debank扩展诱饵站点和Madgicx网站托管在同一基础设施上，表明资源被重复使用。

根据Shodan，Cloudflare背后的IP是185.245.104[.]195，由VDSina提供商托管。

直接访问IP 185.245.104[.]195 (hxxp://185.245.104[.]195) 返回madgicx诱饵网站。

该网站托管在VDSina上，这是一项以托管恶意资源而闻名的服务。 来源：https://www.malwarebytes.com/blog/detections/hosted-by-vdsina-ru

调查的第一阶段发现了一个冒充合法广告工具的诱饵网站网络，包括欺诈性的“Madgicx Plus”平台。对这些站点资源的分析暴露了隐藏在Cloudflare背后的真实托管基础设施，揭示了正在使用的服务提供商和IP地址。

Chrome扩展分析

调查的第二阶段专注于恶意Chrome扩展本身，通过静态和动态分析检查其技术构成和行为。此阶段揭示了扩展的功能、数据访问权限以及嵌入在其代码中的任何潜在恶意功能，并观察其运行时活动以及与外部服务的交互。

扩展：

• 诱饵域名： https[:]//madgicx-plus.com
• 扩展名称： madgicx-plus-the-superapp
• 扩展ID： eoalbaojjblgndkffciljmiddhgjdldh
• CWS： https[:]//chromewebstore.google.com/detail/madgicx-plus-the-superapp/eoalbaojjblgndkffciljmiddhgjdldh
• 扩展文件名： eoalbaojjblgndkffciljmiddhgjdldh.crx
• 扩展文件Sha256： eaebd30ad9860b54b076c3e1241fc59c2c7c86c7bf568c4a6fece9cda904e65c

Meta Ads SuperTool

• 诱饵域名： https[:]//madgicxads.world
• 扩展名称： meta-ads-supertool
• 扩展ID： cpigbbjhchinhpamicodkkcpihjjjlia
• CWS： https://chromewebstore.google.com/detail/meta-ads-supertool/cpigbbjhchinhpamicodkkcpihjjjlia
• 扩展文件名： cpigbbjhchinhpamicodkkcpihjjjlia.crx
• 扩展文件Sha256： 7640907d54d5d76a25d19429968ff6b1d8fdae232b481df15d3cc47d1a224083

静态分析

此阶段的调查通过静态分析其代码和配置来检查恶意Chrome扩展。

Manifest.json：

• Host_permissions - 授予对用户访问的所有网站的完全访问权限。这使得扩展能够注入内容脚本、读取DOM数据，并可能劫持任何域的会话。
• “declarativeNetRequest”, “declarativeNetRequestWithHostAccess” - 这些允许扩展在用户不知情的情况下拦截和修改网络流量，包括头部和重定向链。结合完全主机访问，它实现了强大的浏览器中间人能力。
• “Content_scripts” - 此权限允许扩展自动注入并在用户访问的每个网站上执行自定义JavaScript代码。实际上，这意味着扩展可以监控浏览活动、捕获表单输入、修改页面内容或与Web应用程序交互，而用户不知情。当被滥用时，此功能可以被武器化以收集敏感信息（如登录凭证）、在活动会话中执行未经授权的操作或操作用户体验以进一步实现社会工程目标。

这似乎绕过了CSP（内容安全策略）。禁用它允许扩展将任意脚本注入到像Facebook、Gmail等安全应用程序中。

Rules.json：

代码从URL匹配正则表达式的请求中移除Origin HTTP头部。

扩展使用Declarative Net Request规则从包含参数‘caller=ext’的出站请求中剥离Origin头部。这是跨源资源共享策略规避的指标，通常用于侵犯隐私或恶意的扩展中以绕过Facebook的源验证机制。

background.iife.js：

代码指示使用受害者的会话或令牌进行未经授权的API访问。通过窃取有效的会话令牌，扩展完全绕过了对登录凭证的需求，并可以直接冒充受害者。这授予攻击者访问受害者的认证环境，允许他们执行诸如查看私人数据、修改账户设置甚至管理广告资产等操作， effectively接管账户而无需知道密码。

此外，它与hxxps[:]//madgicx-plus[.]com通信，这不是Meta，且可能是C2域。

动态分析

动态分析涉及在受控环境中运行扩展以观察其实时行为、网络通信以及与浏览器API的交互。

一旦用户链接其Google账户，扩展会悄悄地将敏感账户详细信息存储在其本地存储中，确保持久性和长期访问。扩展并未就此结束，而是通过提示用户连接其Facebook账户迅速升级。

这种分阶段的方法揭示了一个清晰的威胁行为者策略：首先捕获Google身份数据，然后转向Facebook以扩大访问权限并增加劫持有价值的商业或广告资产的机会。

对C2的请求：

结论

此调查突显了一个恶意Chrome扩展活动，该活动冒充Madgicx品牌以诱骗Meta广告商。虽然被呈现为合法的广告工具，但该扩展展示了潜在恶意的行为，包括请求广泛权限、试图绕过Web安全控制以及嵌入与敏感用户会话交互的机制。此活动背后的基础设施显示出重复使用的明显迹象：先前与无关扩展相关的域名已被重新用于推广虚假的“Madgicx Plus”平台，表明相同的威胁行为者正在迭代其策略，而非孤立群体运行模仿操作。这种重复使用，结合扩展的技术复杂性，表明该活动是更广泛、不断演变的努力的一部分，旨在危害广告商账户并收集有价值的商业数据。这些发现强调了持续监控的重要性，因为基础设施重复使用的持久性和诱饵的快速适应指向一个既活跃又可能进一步扩展的活动。

建议

为降低成为恶意浏览器扩展受害者的风险，用户和组织应采取谨慎的方法：

• 安装前验证 - 始终检查扩展的发布者、权限和用户反馈。对历史很少或所有权不明确的扩展保持警惕。
• 清理未使用的扩展 - 移除任何不再积极使用的扩展，因为休眠的扩展仍可能构成风险。
• 不必要时禁用 - 如果扩展对于正在进行的任务不是必需的，考虑暂时关闭它们。
• 分离浏览上下文 - 为不同目的（例如，工作、银行、个人使用）使用专用的Chrome配置文件以限制潜在暴露。
• 检查与报告 - 对于技术能力强的用户，审查扩展代码可以发现可疑行为。向浏览器供应商报告任何异常情况。

关于研究人员

Mark Tsipershtein，安全研究员。Mark Tsipershtein是Cybereason安全研究团队的安全研究员，专注于研究、分析自动化和基础设施。Mark在SQA、自动化和安全研究方面拥有超过20年的经验。