潜伏的威胁：新型 Chrome 浏览器扩展同步劫持攻击曝光

据1月31日消息称，SquareX网络安全公司在昨日（1月30日）发布了一篇博文，披露了一种通过Chrome扩展程序发动的全新攻击。虽然攻击方式十分复杂，但却异常隐秘，并且只需要极少的权限。受害者几乎无需进行任何操作，只需安装看似合法的Chrome扩展程序即可成为攻击对象。

IT之家援引该博文介绍称，攻击者首先会创建一个恶意的Google Workspace域名，在其中设置多个用户配置文件，并禁用多因素身份验证等安全功能。随后，在受害者设备上，该Workspace域名将用于创建托管配置文件的后台操作。

攻击者将伪装成具有合法功能并且看似有用的浏览器扩展程序，然后发布到Chrome网上应用商店。利用社会工程学，诱骗受害者安装这一扩展程序。

该扩展程序将在后台悄无声息地通过隐藏的浏览器窗口，将受害者登录到攻击者托管的Google Workspace配置文件之一。

扩展程序会打开一个合法的Google支持页面，由于其具有对网页的读写权限，会向页面中注入内容，引导用户启用Chrome同步功能。

一旦同步完成，攻击者将能够访问所有存储的数据（包括密码和浏览历史记录），从而可以在自己的设备上使用被盗取的配置文件。

一旦攻击者控制了受害者的账号文件，就会开始接管浏览器。在SquareX的演示中，这是通过伪装的Zoom更新完成的。

研究人员认为，受害者可能会收到一条Zoom邀请，当他们点击并转至Zoom网页时，该扩展程序将会注入恶意内容，声称Zoom客户端需要进行更新。但实际上这是一个包含了注册令牌的可执行文件下载，使得攻击者可以完全控制受害者的浏览器。

一旦注册完成，攻击者就获得了对受害者浏览器的完全控制权，使他们能够静默访问所有Web应用程序、安装其他恶意扩展、将用户重定向到钓鱼网站、监控/修改文件下载等。

通过利用Chrome的Native Messaging API，攻击者能够在恶意扩展程序和受害者操作系统之间建立直接通信通道，从而能够查看目录、修改文件、安装恶意软件、执行任意命令、捕捉按键、提取敏感数据，甚至激活网络摄像头和麦克风。

广告声明：文内含有对外跳转链接（包括但不限于超链接、二维码、口令等形式），旨在传递更多信息，节省您的筛选时间，结果仅供参考。