网络安全研究人员发现了一场协同攻击活动:131 款经重新包装的谷歌 Chrome 浏览器 WhatsApp 网页版自动化扩展程序克隆体,正针对巴西用户进行大规模垃圾邮件发送。
据供应链安全公司 Socket 透露,这 131 款垃圾软件扩展共享相同的代码库、设计模式和基础设施,这些浏览器插件的活跃用户总计约 20,905 人。
安全研究员基里尔・博伊琴科(Kirill Boychenko)表示:“它们并非传统意义上的恶意软件,但属于高风险垃圾信息自动化工具,违反了平台规则。其代码直接注入 WhatsApp 网页版页面,与 WhatsApp 自身脚本一同运行,通过特定方式实现批量 outreach 和定时发送,目的是绕过 WhatsApp 的反垃圾邮件机制。”
该活动的最终目标是通过 WhatsApp 大量发送出站消息,且能绕过该消息平台的发送频率限制和反垃圾邮件管控。
据悉,该活动已持续至少 9 个月,截至 2025 年 10 月 17 日,仍能观察到新的扩展上传及版本更新。部分已识别的扩展包括:
- YouSeller(10,000 名用户)
- performancemais(239 名用户)
- Botflow(38 名用户)
- ZapVende(32 名用户)
这些扩展虽名称和图标各异,但幕后绝大多数由 “WL Extensão” 及其变体 “WLExtensao” 发布。据信,这种品牌差异源于一种特许经营模式 —— 该运营活动的分销商可将 DBX Tecnologia 公司提供的原始扩展克隆后,以不同品牌名称大量上传至 Chrome 应用商店。
这些插件还伪装成 WhatsApp 的客户关系管理(CRM)工具,宣称能帮助用户通过该应用的网页版提升销售额。
ZapVende 在 Chrome 应用商店的描述中写道:“将你的 WhatsApp 转变为强大的销售和联系人管理工具。借助 Zap Vende,你将获得直观的 CRM 系统、消息自动化、批量发送、可视化销售漏斗等多种功能。轻松高效地管理客户服务、跟踪潜在客户并定时发送消息。”
Socket 指出,DBX Tecnologia 公司推出了经销商白标计划,允许潜在合作伙伴对其 WhatsApp 网页版扩展进行重新品牌包装并销售。该公司宣称,投资 12,000 雷亚尔(巴西货币),可获得每月 30,000 至 84,000 雷亚尔的 recurring revenue。
值得注意的是,这种行为违反了谷歌 Chrome 应用商店的《垃圾信息与滥用政策》,该政策禁止开发者及其关联方提交功能重复的多个扩展程序。此外,还发现 DBX Tecnologia 在 YouTube 上发布视频,传授使用其扩展时如何绕过 WhatsApp 的反垃圾邮件算法。
博伊琴科指出:“这一系列扩展本质上是几乎相同的复制品,分散在不同的发布者账户下,主打批量非邀约 outreach,且能在无需用户确认的情况下,在web.whatsapp.com内自动发送消息。其目的是让大规模垃圾邮件活动持续进行,同时规避反垃圾邮件系统的检测。”
此次披露正值趋势科技(Trend Micro)、Sophos 和卡巴斯基(Kaspersky)曝光另一场大规模攻击活动 —— 该活动针对巴西用户,利用名为 SORVEPOTEL 的 WhatsApp 蠕虫病毒分发一款代号为 Maverick 的银行木马。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容