潛伏的威脅：新型 Chrome 瀏覽器擴(kuò)展同步劫持攻擊曝光

IT之家 1 月 31 日消息，網(wǎng)絡(luò)安全公司 SquareX 昨日（1 月 30 日）發(fā)布博文，報(bào)告通過 Chrome 擴(kuò)展程序發(fā)起的新型攻擊，攻擊過程雖然復(fù)雜，但卻非常隱蔽，所需的權(quán)限極少，受害者除了安裝看似合法的 Chrome 擴(kuò)展程序外幾乎無需任何操作。

IT之家援引博文介紹，攻擊者首先創(chuàng)建一個(gè)惡意的 Google Workspace 域名，并在其中設(shè)置多個(gè)用戶配置文件，并禁用多因素身份驗(yàn)證等安全功能，此 Workspace 域名將在后臺(tái)用于在受害者設(shè)備上創(chuàng)建托管配置文件。

攻擊者會(huì)將偽裝成有用工具且具有合法功能的瀏覽器擴(kuò)展程序，并發(fā)布到 Chrome 網(wǎng)上應(yīng)用店，然后利用社會(huì)工程學(xué)誘騙受害者安裝該擴(kuò)展程序。

該擴(kuò)展程序會(huì)在后臺(tái)靜默地以隱藏的瀏覽器窗口將受害者登錄到攻擊者托管的 Google Workspace 配置文件之一。

擴(kuò)展程序會(huì)打開一個(gè)合法的 Google 支持頁面。由于它擁有對網(wǎng)頁的讀寫權(quán)限，它會(huì)在頁面中注入內(nèi)容，指示用戶啟用 Chrome 同步功能。

一旦同步，所有存儲(chǔ)的數(shù)據(jù)（包括密碼和瀏覽歷史記錄）都將被攻擊者訪問，攻擊者現(xiàn)在可以在自己的設(shè)備上使用被盜用的配置文件。

攻擊者控制受害者的賬號(hào)文件后，攻擊者會(huì)著手接管瀏覽器。在 SquareX 的演示中，這是通過偽造的 Zoom 更新完成的。

研究人員強(qiáng)調(diào)的場景是，受害者可能會(huì)收到一個(gè) Zoom 邀請，當(dāng)他們點(diǎn)擊并轉(zhuǎn)到 Zoom 網(wǎng)頁時(shí)，該擴(kuò)展程序會(huì)注入惡意內(nèi)容，聲稱 Zoom 客戶端需要更新。然而，此下載是一個(gè)包含注冊 tokens 的可執(zhí)行文件，讓攻擊者可以完全控制受害者的瀏覽器。

一旦注冊完成，攻擊者就獲得了對受害者瀏覽器的完全控制權(quán)，允許他們靜默訪問所有 Web 應(yīng)用程序、安裝其他惡意擴(kuò)展程序、將用戶重定向到釣魚網(wǎng)站、監(jiān)控 / 修改文件下載等等。

通過利用 Chrome 的 Native Messaging API，攻擊者可以在惡意擴(kuò)展程序和受害者的操作系統(tǒng)之間建立直接通信通道。這使他們能夠?yàn)g覽目錄、修改文件、安裝惡意軟件、執(zhí)行任意命令、捕獲按鍵、提取敏感數(shù)據(jù)，甚至激活網(wǎng)絡(luò)攝像頭和麥克風(fēng)。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。