ADVERTISEMENT
網路安全公司 SquareX 報告透過 Chrome 擴充功能發起的新型攻擊,攻擊過程雖然複雜,但卻非常隱蔽,所需的權限極少,受害者除了安裝看似合法的 Chrome 擴充功能外幾乎無需任何操作。
根據報告,攻擊者首先建立一個惡意的 Google Workspace 網域,並在其中設定多個使用者設定檔,並停用多因素身分驗證等安全功能,此 Workspace 網域將在後台用於在受害者裝置上建立託管設定檔。
ADVERTISEMENT
攻擊者會將偽裝成有用工具且具有合法功能的瀏覽器擴充功能,並發布到 Chrome 線上應用商店,然後利用社會工程學誘騙受害者安裝該擴充功能。 該擴充功能會在後台靜默地以隱藏的瀏覽器視窗將受害者登入到攻擊者託管的 Google Workspace 設定檔之一。
擴充功能會開啟一個合法的 Google 支援頁面。由於它擁有對網頁的讀寫權限,它會在頁面中注入內容,指示使用者啟用 Chrome 同步功能。 一旦同步,所有儲存的資料(包括密碼和瀏覽歷史紀錄)都將被攻擊者存取,攻擊者現在可以在自己的裝置上使用被盜用的設定檔。
ADVERTISEMENT
攻擊者控制受害者的帳號檔案後,攻擊者會著手接管瀏覽器。在 SquareX 的展示中,這是透過偽造的 Zoom 更新完成的。 研究人員強調的場景是,受害者可能會收到一個 Zoom 邀請,當他們點擊並轉到 Zoom 網頁時,該擴充功能會注入惡意內容,聲稱 Zoom 客戶端需要更新。然而,此下載是一個包含註冊 tokens 的可執行檔,讓攻擊者可以完全控制受害者的瀏覽器。
ADVERTISEMENT
一旦註冊完成,攻擊者就獲得了對受害者瀏覽器的完全控制權,允許他們靜默存取所有 Web 應用程式、安裝其他惡意擴充功能、將使用者重新導向到釣魚網站、監控/修改檔案下載等等。 透過利用 Chrome 的 Native Messaging API,攻擊者可以在惡意擴充功能和受害者的作業系統之間建立直接通訊管道。這使他們能夠瀏覽目錄、修改檔案、安裝惡意軟體、執行任意命令、捕獲按鍵、提取敏感資料,甚至啟動網路攝影機和麥克風。
ADVERTISEMENT