ADVERTISEMENT
网路安全公司 SquareX 报告透过 Chrome 扩充功能发起的新型攻击,攻击过程虽然複杂,但却非常隐蔽,所需的权限极少,受害者除了安装看似合法的 Chrome 扩充功能外几乎无需任何操作。
根据报告,攻击者首先建立一个恶意的 Google Workspace 网域,并在其中设定多个使用者设定档,并停用多因素身分验证等安全功能,此 Workspace 网域将在后台用于在受害者装置上建立託管设定档。
攻击者会将伪装成有用工具且具有合法功能的浏览器扩充功能,并发布到 Chrome 线上应用商店,然后利用社会工程学诱骗受害者安装该扩充功能。 该扩充功能会在后台静默地以隐藏的浏览器视窗将受害者登入到攻击者託管的 Google Workspace 设定档之一。
扩充功能会开启一个合法的 Google 支援页面。由于它拥有对网页的读写权限,它会在页面中注入内容,指示使用者启用 Chrome 同步功能。 一旦同步,所有储存的资料(包括密码和浏览历史纪录)都将被攻击者存取,攻击者现在可以在自己的装置上使用被盗用的设定档。
攻击者控制受害者的帐号档案后,攻击者会着手接管浏览器。在 SquareX 的展示中,这是透过伪造的 Zoom 更新完成的。 研究人员强调的场景是,受害者可能会收到一个 Zoom 邀请,当他们点击并转到 Zoom 网页时,该扩充功能会注入恶意内容,声称 Zoom 客户端需要更新。然而,此下载是一个包含注册 tokens 的可执行档,让攻击者可以完全控制受害者的浏览器。
一旦注册完成,攻击者就获得了对受害者浏览器的完全控制权,允许他们静默存取所有 Web 应用程式、安装其他恶意扩充功能、将使用者重新导向到钓鱼网站、监控/修改档案下载等等。 透过利用 Chrome 的 Native Messaging API,攻击者可以在恶意扩充功能和受害者的作业系统之间建立直接通讯管道。这使他们能够浏览目录、修改档案、安装恶意软件、执行任意命令、捕获按键、提取敏感资料,甚至启动网路摄影机和麦克风。