【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

admin 2025年1月9日15:36:22评论5 views字数 2568阅读8分33秒阅读模式

安小圈

第584期

黑客 · 劫持

导 

有关针对 Chrome 浏览器扩展程序开发人员的网络钓鱼活动的最新细节公开,该活动导致至少 35 个扩展程序受到攻击并注入数据窃取代码,其中包括网络安全公司 Cyberhaven 的扩展程序。

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

最初的报告重点关注 Cyberhaven 的安全扩展,后续调查显示,相同的代码已被注入至少35 个扩展中,影响 260Chrome用户。

根据开发人员在LinkedIn和Google Groups上的报告,最新的活动开始于 2024 年 12 月 5 日左右。BleepingComputer 发现的早期C2子域早在 2024 年 3 月就已存在。

受到攻击的开发人员在帖子中写道:“我只是想提醒大家,我们收到了一封比平时更复杂的网络钓鱼电子邮件,其中指出 Chrome 扩展程序违反了政策,形式为:‘描述中存在不必要的详细信息’。”

“这封电子邮件中的链接看起来像是网上商店,但实际上会转到一个钓鱼网站,该网站会尝试控制你的 Chrome 扩展程序,并可能使用恶意软件对其进行更新。”

欺骗性的 OAuth 攻击链

攻击始于直接向 Chrome 扩展程序开发人员发送的网络钓鱼电子邮件,或通过与其域名关联的支持电子邮件发送。

这些网络钓鱼电子邮件假装来自谷歌,声称目标扩展应用程序违反了 Chrome 网上应用店的政策,并面临被删除的风险。

网络钓鱼电子邮件中写道:“我们不允许扩展程序带有误导性、格式不良、非描述性、不相关、过多或不适当的元数据,包括但不限于扩展程序描述、开发者名称、标题、图标、屏幕截图和宣传图片。”

具体来说,该扩展程序的开发人员被误导相信其软件的描述包含误导性信息,并且必须同意 Chrome 网上应用商店的隐私政策。

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

攻击中使用的钓鱼电子邮件,来源:Google Groups

如果开发人员点击嵌入的“转到政策”按钮以了解他们违反了哪些规则,他们就会被带到 Google 域中恶意 OAuth 应用程序的合法登录页面。

该页面是 Google 标准授权流程的一部分,旨在安全地向第三方应用授予访问特定 Google 帐户资源的权限。

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

恶意身份验证请求,来源:Cyberhaven

在该平台上,攻击者托管了一个名为“隐私政策扩展”的恶意 OAuth 应用程序,该应用程序要求受害者授予通过其帐户管理 Chrome 网上应用店扩展程序的权限。

OAuth 授权页面上写道:“当您允许此访问时,隐私政策扩展程序将能够:查看、编辑、更新或发布您有权访问的 Chrome 网上应用店扩展程序、主题、应用程序和许可证。”

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

权限批准提示,来源:Cyberhaven

多重身份验证无助于保护帐户,因为不需要 OAuth 授权流中的直接批准,并且该过程假定用户完全了解他们授予的权限范围。

Cyberhaven在事后报告中解释道:“该员工遵循标准流程,无意中授权了这个恶意的第三方应用程序。”

“该员工启用了 Google 高级保护,并让 MFA 覆盖其帐户。该员工没有收到 MFA 提示。该员工的 Google 凭据没有受到损害。”

一旦攻击者获得扩展程序开发者帐户的访问权限,他们就会修改扩展程序以包含两个恶意文件,即“worker.js”和“content.js”,其中包含从 Facebook 帐户窃取数据的代码。

被劫持的扩展程序随后作为“新”版本发布在 Chrome 网上应用店。

Extension Total 正在追踪受此网络钓鱼活动影响的35 个扩展,但来自攻击的 IOC 表明,受到攻击的扩展数量要大得多。

据VirusTotal称,即使没有受到攻击,威胁组织也会预先注册目标扩展的域名。

大多数域名都是在 11 月和 12 月创建的,BleepingComputer 发现威胁组织在 2024 年 3 月就已在测试这次攻击。

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

网络钓鱼活动中使用的早期子域名,来源:BleepingComputer

定位 Facebook 商业账户

对受感染机器的分析表明,攻击者的目标是被感染扩展程序用户的 Facebook 账户。

具体来说,数据窃取代码试图获取用户的 Facebook ID、访问令牌、帐户信息、广告帐户信息和商业帐户。

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

被劫持的扩展程序窃取 Facebook 数据,来源:Cyberhaven

此外,恶意代码还专门针对受害者在 Facebook.com 上的交互添加了鼠标点击事件监听器,查找与平台的双因素身份验证或 CAPTCHA 机制相关的二维码图像。其目的是绕过 Facebook 帐户上的 2FA 保护并允许攻击者劫持它。

被盗信息将与 Facebook cookie、用户代理字符串、Facebook ID 和鼠标点击事件一起打包并泄露到攻击者的命令和控制 (C2) 服务器。

威胁组织通过各种攻击途径瞄准 Facebook 商业账户,直接从受害者的信用额度支付到他们的账户中,在社交媒体平台上进行虚假信息或网络钓鱼活动,或通过将其访问权限出售给他人来赚钱。

新闻链接:

https://www.bleepingcomputer.com/news/security/new-details-reveal-how-hackers-hijacked-35-google-chrome-extensions/

END

【原文来源:军哥网络安全读报

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序
【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序
【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序
【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序
【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序
【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序
【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序
【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序
【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

原文始发于微信公众号(安小圈):【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月9日15:36:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【揭秘】黑客如何劫持 35 个 Google Chrome 扩展程序https://cn-sec.com/archives/3604983.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息