黑客通过钓鱼攻击目标Chrome扩展开发者,成功注入恶意代码,窃取用户数据,影响了至少35个扩展和260万用户。
最新曝光的一起针对Chrome浏览器扩展开发者的钓鱼攻击事件显示,至少有35个扩展被黑客入侵并植入了数据窃取代码,其中包括网络安全公司Cyberhaven的扩展。这些受害扩展累计用户量约260万。
“我只是想提醒大家注意一封比平常更为复杂的钓鱼邮件,邮件称我们违反了Chrome扩展政策,形式是:‘描述中有不必要的细节’。”该开发者在Google Group的Chromium扩展组发布了此信息。
“邮件中的链接看起来像是网页商店,但实际指向一个钓鱼网站,试图控制你的Chrome扩展,并可能将其更新为恶意软件。”
-
supportchromestore.com -
forextensions.com -
chromeforextension.com
这些钓鱼邮件伪装成来自Google,声称该扩展违反了Chrome Web Store的政策,面临被下架的风险。
“我们不允许具有误导性、格式差、描述不清、无关、过多或不当的元数据的扩展,包括但不限于扩展描述、开发者名称、标题、图标、截图和宣传图片。”钓鱼邮件中写道。
具体而言,扩展开发者被诱导认为其软件描述含有误导信息,并被要求确认遵守Chrome Web Store的政策。一旦开发者点击邮件中的“前往政策”链接以了解违规详情,他们会被重定向至Google域下的正规登录页面,但该页面实则用于一个恶意的OAuth应用。
攻击中使用的钓鱼电子邮件
(来源:Google Groups)
此登录页面遵循Google的标准授权流程,本用于安全授权第三方应用访问Google账户资源。然而,攻击者在此平台上部署了一个名为“隐私政策扩展”的恶意OAuth应用,诱骗受害者授权其管理Chrome Web Store扩展的权限。
“当您允许此访问时,隐私政策扩展将能够:查看、编辑、更新或发布您可以访问的Chrome Web Store扩展、主题、应用程序和许可证。”OAuth授权页面上写道。
权限批准提示
(来源:Cyberhaven)
尽管启用了多因素认证(MFA),但账户安全仍未能得到保障,因为OAuth授权流程中的直接批准环节无需额外验证,且默认用户充分知晓所授予的权限。
Cyberhaven在事后分析中指出:“一名员工按照标准流程操作,不慎授权了恶意第三方应用。”
该员工虽已启用Google高级保护并设有MFA,但在授权过程中未收到任何MFA提示,其Google凭证也未被泄露。
获得账户访问权后,攻击者篡改了扩展,植入了“worker.js”和“content.js”两个恶意文件,内含窃取Facebook账户数据的代码。随后,这些被劫持的扩展以“新版本”的形式被发布到Chrome Web Store上。
尽管Extension Total追踪了此次钓鱼活动影响的35个扩展,但来自攻击的IOCs显示,实际受影响的扩展数量要远远超过这个数字。
根据VirusTotal的数据,攻击者为目标扩展预先注册了域名,即便这些扩展的开发者没有上当。
早期钓鱼活动中使用的子域名
(来源:BleepingComputer)
对受损设备的分析显示,攻击者瞄准了使用中毒扩展的用户的Facebook账户。具体来说,窃取数据的代码试图抓取用户的Facebook ID、访问令牌、账户信息、广告账户信息和企业账户信息。
此外,恶意代码还在Facebook.com上设置了鼠标点击事件监听器,专门捕获与Facebook双因素认证(2FA)或验证码相关的二维码图像,企图绕过2FA保护,从而控制用户账户。
被劫持扩展窃取的Facebook数据
(来源:Cyberhaven)
这些被窃取的信息,包括Facebook Cookies、用户代理字符串、Facebook ID以及监听到的鼠标点击事件,会被打包并传输至攻击者的指挥和控制(C2)服务器。
攻击者针对Facebook企业账户展开多种攻击手段,意图利用受害者的信用卡信息直接向其账户转账,或在社交平台上散布虚假信息、实施钓鱼活动,甚至将账户访问权限转售他人。
转载请注明出处@安全威胁纵横,封面由ChatGPT生成;
本文来源:https://www.bleepingcomputer.com/news/security/new-details-reveal-how-hackers-hijacked-35-google-chrome-extensions/
原文始发于微信公众号(安全威胁纵横):数百万用户中招!Chrome扩展开发者遭遇钓鱼攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论