有关针对 Chrome 浏览器扩展程序开发人员的网络钓鱼活动的最新细节公开，该活动导致至少 35 个扩展程序受到攻击并注入数据窃取代码，其中包括网络安全公司 Cyberhaven 的扩展程序。

最初的报告重点关注 Cyberhaven 的安全扩展，后续调查显示，相同的代码已被注入至少35 个扩展中，影响 260万Chrome用户。

根据开发人员在LinkedIn和Google Groups上的报告，最新的活动开始于 2024 年 12 月 5 日左右。BleepingComputer 发现的早期C2子域早在 2024 年 3 月就已存在。

受到攻击的开发人员在帖子中写道：“我只是想提醒大家，我们收到了一封比平时更复杂的网络钓鱼电子邮件，其中指出 Chrome 扩展程序违反了政策，形式为：‘描述中存在不必要的详细信息’。”

“这封电子邮件中的链接看起来像是网上商店，但实际上会转到一个钓鱼网站，该网站会尝试控制你的 Chrome 扩展程序，并可能使用恶意软件对其进行更新。”

欺骗性的 OAuth 攻击链

攻击始于直接向 Chrome 扩展程序开发人员发送的网络钓鱼电子邮件，或通过与其域名关联的支持电子邮件发送。

这些网络钓鱼电子邮件假装来自谷歌，声称目标扩展应用程序违反了 Chrome 网上应用店的政策，并面临被删除的风险。

网络钓鱼电子邮件中写道：“我们不允许扩展程序带有误导性、格式不良、非描述性、不相关、过多或不适当的元数据，包括但不限于扩展程序描述、开发者名称、标题、图标、屏幕截图和宣传图片。”

具体来说，该扩展程序的开发人员被误导相信其软件的描述包含误导性信息，并且必须同意 Chrome 网上应用商店的隐私政策。

攻击中使用的钓鱼电子邮件，来源：Google Groups

如果开发人员点击嵌入的“转到政策”按钮以了解他们违反了哪些规则，他们就会被带到 Google 域中恶意 OAuth 应用程序的合法登录页面。

该页面是 Google 标准授权流程的一部分，旨在安全地向第三方应用授予访问特定 Google 帐户资源的权限。

恶意身份验证请求，来源：Cyberhaven

在该平台上，攻击者托管了一个名为“隐私政策扩展”的恶意 OAuth 应用程序，该应用程序要求受害者授予通过其帐户管理 Chrome 网上应用店扩展程序的权限。

OAuth 授权页面上写道：“当您允许此访问时，隐私政策扩展程序将能够：查看、编辑、更新或发布您有权访问的 Chrome 网上应用店扩展程序、主题、应用程序和许可证。”

权限批准提示，来源：Cyberhaven

多重身份验证无助于保护帐户，因为不需要 OAuth 授权流中的直接批准，并且该过程假定用户完全了解他们授予的权限范围。

Cyberhaven在事后报告中解释道：“该员工遵循标准流程，无意中授权了这个恶意的第三方应用程序。”

“该员工启用了 Google 高级保护，并让 MFA 覆盖其帐户。该员工没有收到 MFA 提示。该员工的 Google 凭据没有受到损害。”

一旦攻击者获得扩展程序开发者帐户的访问权限，他们就会修改扩展程序以包含两个恶意文件，即“worker.js”和“content.js”，其中包含从 Facebook 帐户窃取数据的代码。

被劫持的扩展程序随后作为“新”版本发布在 Chrome 网上应用店。

Extension Total 正在追踪受此网络钓鱼活动影响的35 个扩展，但来自攻击的 IOC 表明，受到攻击的扩展数量要大得多。

据VirusTotal称，即使没有受到攻击，威胁组织也会预先注册目标扩展的域名。

大多数域名都是在 11 月和 12 月创建的，BleepingComputer 发现威胁组织在 2024 年 3 月就已在测试这次攻击。

网络钓鱼活动中使用的早期子域名，来源：BleepingComputer

定位 Facebook 商业账户

对受感染机器的分析表明，攻击者的目标是被感染扩展程序用户的 Facebook 账户。

具体来说，数据窃取代码试图获取用户的 Facebook ID、访问令牌、帐户信息、广告帐户信息和商业帐户。

被劫持的扩展程序窃取 Facebook 数据，来源：Cyberhaven

此外，恶意代码还专门针对受害者在 Facebook.com 上的交互添加了鼠标点击事件监听器，查找与平台的双因素身份验证或 CAPTCHA 机制相关的二维码图像。其目的是绕过 Facebook 帐户上的 2FA 保护并允许攻击者劫持它。

被盗信息将与 Facebook cookie、用户代理字符串、Facebook ID 和鼠标点击事件一起打包并泄露到攻击者的命令和控制 (C2) 服务器。

威胁组织通过各种攻击途径瞄准 Facebook 商业账户，直接从受害者的信用额度支付到他们的账户中，在社交媒体平台上进行虚假信息或网络钓鱼活动，或通过将其访问权限出售给他人来赚钱。

新闻链接：

https://www.bleepingcomputer.com/news/security/new-details-reveal-how-hackers-hijacked-35-google-chrome-extensions/