新型網(wǎng)絡(luò)釣魚攻擊曝光：劫持至少 35 款 Chrome 瀏覽器擴(kuò)展，影響 260 萬用戶

IT之家 1 月 1 日消息，科技媒體 bleepingcomputer 昨日（2024 年 12 月 31 日）發(fā)布博文，報(bào)道稱在最新發(fā)現(xiàn)網(wǎng)絡(luò)釣魚攻擊中，攻擊者成功入侵至少 35 個(gè)擴(kuò)展程序，并注入數(shù)據(jù)竊取代碼，影響約 260 萬用戶。

根據(jù)追蹤數(shù)據(jù)，該網(wǎng)絡(luò)釣魚工具活動(dòng)最早可以追溯到 2024 年 12 月 5 日，不過釣魚活動(dòng)所使用的域名和控制系統(tǒng)可以追溯到 2024 年 3 月。

初期報(bào)告集中在網(wǎng)絡(luò)安全公司 Cyberhaven 的擴(kuò)展程序上，不過后續(xù)深入調(diào)查，發(fā)現(xiàn)在谷歌 Chrome 擴(kuò)展程序商城上，至少有 35 款擴(kuò)展程序被注入相同惡意代碼，影響大約 260 萬人。

IT之家簡要介紹下該惡意攻擊方式，攻擊者偽裝成 Google 官方發(fā)送郵件，聲稱擴(kuò)展程序違反了 Chrome Web Store 政策，需要開發(fā)者點(diǎn)擊鏈接進(jìn)行處理。

郵件域名包括 supportchromestore.com、forextensions.com 和 chromeforextension.com 等。

開發(fā)者點(diǎn)擊鏈接后，會(huì)被引導(dǎo)至一個(gè)偽造的 Google 登錄頁面，并被要求授權(quán)名為“Privacy Policy Extension”的惡意 OAuth 應(yīng)用。該應(yīng)用可以管理 Chrome Web Store 擴(kuò)展程序，一旦授權(quán)，攻擊者就能控制開發(fā)者的賬戶。

獲取賬戶控制權(quán)后，攻擊者會(huì)向擴(kuò)展程序注入名為“worker.js”和“content.js”的惡意文件，這些文件包含竊取 Facebook 賬戶數(shù)據(jù)的代碼。

惡意代碼會(huì)竊取用戶的 Facebook ID、訪問令牌、賬戶信息、廣告賬戶信息和商業(yè)賬戶信息等。此外，還會(huì)記錄用戶的鼠標(biāo)點(diǎn)擊事件，以繞過 Facebook 的雙因素認(rèn)證和 CAPTCHA 機(jī)制。

此次攻擊凸顯了網(wǎng)絡(luò)釣魚攻擊的隱蔽性和危害性，即使是安全意識(shí)較強(qiáng)的開發(fā)者也可能中招。攻擊者利用 OAuth 授權(quán)流程的漏洞，在不獲取用戶憑據(jù)的情況下竊取數(shù)據(jù)，值得警惕。對于用戶來說，應(yīng)謹(jǐn)慎對待來自 Google 的郵件，仔細(xì)核實(shí)郵件來源和鏈接，避免授權(quán)不明應(yīng)用。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。