实测新型攻击可盗任意密码

admin
admin
admin
140350
文章
117
评论
2025年3月12日22:55:11评论17 views字数 2032阅读6分46秒阅读模式

part1

点击上方蓝字关注我们

将二进制空间安全设为"星标⭐️"

第一时间收到文章更新

这种攻击也被称为: 多态扩展(polymorphic extensions),  黑客可以使恶意扩展程序在受害者的浏览器上悄悄地冒充任何已安装的扩展程序。

多态扩展会创建目标扩展的像素级完美副本,包括图标、HTML 弹出窗口、工作流程,甚至还能暂时禁用原本合法的扩展,使受害者极易误以为自己正在向真正的扩展提供凭据。这些凭据随后可被攻击者用于访问受害者账户中存储的所有敏感信息、凭据和金融资产。

下面以一个常见的插件: 密码管理器作为例子, 系统性地解析攻击者如何利用多态扩展获取受害者的完整密码库访问权限。需要注意的是,目标扩展并不重要——任何作为攻击者获取有价值资源入口的扩展都可能成为多态扩展的目标。只要是基于Chromium内核的浏览器, 理论上都会受到影响。

第一阶段: 攻击者准备与社交工程

此攻击利用了这样一个事实:与浏览器扩展程序最常见的交互方式是通过固定在工具栏上的标签。因此,攻击的第一步是诱骗受害者下载并固定多态扩展,通常伪装成其他工具。

  1. 攻击者在 Chrome 商店创建并发布一个伪装成 AI 营销工具的多态扩展。

  2. 通过各种社交工程手段(例如社交媒体),受害者发现并从 Chrome 商店安装该扩展。

  3. 在安装过程中,弹出窗口会提示用户固定扩展,以获得更好的使用体验。

实测新型攻击可盗任意密码

4. 该扩展会按照承诺的功能运行,提供 AI 营销服务,以避免引起怀疑。

与此同时,攻击者还会创建一个包含高价值目标扩展的列表,这些扩展通常存储着宝贵的信息或资产。攻击者会彻底研究目标扩展的外观、行为和工作流程,以便在第三阶段进行逼真的伪造。

第二阶段:识别目标扩展

攻击的下一步是确定要冒充的目标扩展。为此,攻击者需要了解受害者浏览器中已安装了哪些扩展。尽管 Chrome 扩展子系统禁止直接监视其他扩展,但仍然可以通过其他方式获取这些信息。

第一种方法是利用 chrome.management API,该 API 主要用于管理已安装的应用程序,包括浏览器扩展,许多管理员工具都会使用它。

第二种、更隐蔽的方法是使用网页资源探测(web resource hitting)技术来识别已知目标扩展所关联的独特网页资源。例如,如果检测到包含 1Password 标志的 PNG 文件,则很可能说明该密码管理器已安装在受害者的浏览器中。这种系统化的方法与 LinkedIn 等网站用于检测网页抓取和自动化工具的方式类似。这些网站会检查特定资源的加载情况,以识别并限制违反隐私政策的工具。同样,恶意扩展可以向网页注入脚本,以检测特定的已安装扩展并进行模仿。通常,攻击者会针对包含有价值信息的扩展,如密码管理器和加密钱包,这些都是主要攻击目标。

以下步骤描述了使用网页资源探测技术的具体流程:

5. 恶意扩展向受害者浏览器中任何打开的网页注入脚本,指示网页检查与特定目标扩展(例如 1Password)关联的网页资源是否存在。

注意:该脚本可以一次性检查多个扩展,并创建一个可用目标列表,供攻击者选择最佳攻击目标。

实测新型攻击可盗任意密码

6.通过网页资源探测获取的结果会被发送回攻击者的服务器。如果检测到目标扩展,攻击者将进入第三阶段。如果没有检测到目标扩展,多态扩展将保持休眠状态,并定期重新注入相同的检测脚本,直到受害者安装了合适的目标扩展。

第三阶段:伪装成目标扩展

一旦确定了目标扩展,多态扩展就会在合适的时机变形,完美模仿目标扩展。继续以 1Password 为例,攻击流程如下:

7. 受害者访问某个 SaaS 应用的登录页面(例如 Salesforce),并点击登录表单。

实测新型攻击可盗任意密码

这会触发多态扩展执行以下操作:

  • 暂时禁用 1Password,使其从固定标签栏中消失。

  • 伪装成 1Password,最重要的是替换其图标,在固定标签栏上显示与 1Password 完全一致的图标。

实测新型攻击可盗任意密码
实测新型攻击可盗任意密码
实测新型攻击可盗任意密码
9. 此时,弹出一个 HTML 窗口,提示受害者已退出 1Password,并要求其重新登录 1Password 扩展。
实测新型攻击可盗任意密码

12. 在凭据提交后,多态扩展恢复原本的外观,并重新启用真正的 1Password 扩展

13. 真实的 1Password 继续自动填充受害者的 Salesforce 登录凭据,使受害者顺利登录,而不会察觉整个过程被篡改过。

实测新型攻击可盗任意密码
实测新型攻击可盗任意密码

第四阶段:影响

现在,攻击者已经获取了受害者的 1Password 凭据,包括密钥,他们可以完全访问受害者的密码管理器保险库中的所有密码。这使得攻击者能够访问受害者的任何 SaaS 应用程序帐户,以窃取数据,甚至可以冒充受害者向受害者的联系人传播钓鱼攻击。

其他可能的危害包括:

  • 通过加密钱包进行未经授权的加密货币转移

  • 通过银行应用程序进行未经授权的交易

  • 访问、编辑和发送机密文档或电子邮件(如语法检查工具、自动化工具)

  • 通过开发者工具访问、阅读和修改代码库

由于这些扩展完全在浏览器内部运行,无法通过权限或访问的网站来识别,因此唯一的应对方法是使用能够理解每个扩展运行时行为的原生浏览器安全解决方案

原文始发于微信公众号(二进制空间安全):实测新型攻击可盗任意密码

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月12日22:55:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实测新型攻击可盗任意密码https://cn-sec.com/archives/3830393.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息