一项新发现的网络安全威胁显示,至少有 320 万用户受到伪装成合法实用工具的恶意浏览器扩展程序的影响。一组由 16 个扩展程序组成的集群 —— 涵盖从屏幕截图工具到广告拦截器以及表情符号键盘等 —— 被确认会向用户浏览器中注入恶意代码。据 GitLab 威胁情报显示,这些扩展程序不仅助长了广告欺诈和搜索引擎优化(SEO)操纵行为,还带来了严重的数据泄露风险,并且可能为进一步的网络入侵提供初始访问权限。
威胁行为者采用的攻击链是多阶段且高度复杂的,旨在在破坏浏览器安全的同时逃避检测。GitLab 的报告指出:“威胁行为者使用复杂的多阶段攻击来降低用户浏览器的安全性,然后注入内容,跨越浏览器安全边界,并将恶意代码隐藏在扩展程序之外。”
此次攻击似乎始于 2024 年 7 月,威胁行为者获取了合法扩展程序的访问权,而非直接对其进行破坏。报告表明,原始开发者可能在不知情的情况下将扩展程序的所有权转让给了攻击者,从而为恶意更新提供了直接途径。
到 2024 年 12 月,攻击升级为供应链攻击,涉及对开发者账户的网络钓鱼攻击,使得攻击者能够通过 Chrome 网上应用店推送恶意更新。这些更新引入了脚本,这些脚本能够利用远程存储的动态配置,窃取 HTTP 头部数据和文档对象模型(DOM)内容。
(来自:安全客)
原文始发于微信公众号(天锐数据安全):320万用户因恶意浏览器扩展程序遭信息泄露
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论