幽灵插件肆虐暴露浏览器安全隐患,专家:两招可破解

admin
admin
admin
138643
文章
114
评论
2025年3月17日20:26:43评论14 views字数 1825阅读6分5秒阅读模式
近日,奇安信威胁情报中心发现了一个规模巨大并且能够劫持受害者Google搜索内容和劫持电商链接等恶意行为的境外黑客团伙。受害者在使用浏览器时会感染一个名为“幽灵插件”的恶意扩展程序,中招后访问电商网站或搜索时会被劫持至恶意域名,造成严重安全隐患,目前全球受影响的终端至少百万级别。
奇安信可信浏览器专家提醒广大用户,应尽快采用具备检测恶意扩展程序的安全产品,及时发现并处理企业内部运行的恶意扩展程序。同时,企业可根据业务需求,对浏览器扩展程序采用白名单机制和黑名单管控,仅允许安装和使用可信的扩展程序,过滤恶意程序,更有效地防范此类攻击。

“幽灵插件”可劫持用户账户密码,影响终端超百万

奇安信威胁情报中心根据终端侧运营的分析,在浏览器中找到了一个恶意插件,并将其命名为“幽灵插件”。

幽灵插件肆虐暴露浏览器安全隐患,专家:两招可破解

攻击者绕过了Google CSP机制,当使用Google搜索时会向页面中注入js,注入前截图如下:

幽灵插件肆虐暴露浏览器安全隐患,专家:两招可破解

注入后结果如下:

幽灵插件肆虐暴露浏览器安全隐患,专家:两招可破解

Google搜索页面加载了额外的js,额外在顶部展示出攻击者推送的结果,除了控制搜索结果外,受害者访问任意页面时都会注入另一段js,用来追踪受害者访问习惯和轨迹,当受害者访问电商类型的网站时恶意js会从overbridgenet.com/jsv8/offer 获取到一个新的域名用来劫持当前页面中的跳转链接。
奇安信发现,目前劫持链接只有跳转功能,劫持逻辑由攻击者在云端控制,理论上可以定制化劫持特定的网站,甚至可以进行中间人劫持获取登录页面的账号和密码,极可能给用户造成巨大损失。
奇安信基于PDNS数据发现该团伙从2021年开始活跃,并且恶意域名在OPENDNS的top 1m列表中,全球受影响的终端至少百万级别。

浏览器恶意扩展事件频发,呈现系统化隐蔽化趋势

奇安信可信浏览器安全专家表示,近期浏览器恶意扩展事件频发,并呈现系统化、隐蔽化趋势,其主要原因包括三个方面:
第一是技术标准升级引发的生态漏洞。
Chrome浏览器强制推行Manifest V3标准并禁用V2接口后,大量合法扩展因兼容性问题被下架(如2024年12月EditThisCookie事件),攻击者趁机伪造“山寨扩展”(如名称添加符号的伪装版本)诱导用户安装。此类扩展通过混淆代码绕过检测,劫持用户会话并窃取企业数据,平均潜伏周期达6-12个月。这一阶段,由于大量已安装扩展被禁用,也增加了用户访问应用商店中寻找新版扩展或替代扩展,进一步增加了“山寨扩展”被安装的风险。
第二是浏览器数据价值激增驱动黑产产业化。
当前80%的企业业务依赖浏览器完成,攻击者通过低成本制作恶意扩展(如伪造广告拦截器、密码管理器),可获取高价值数据。典型的为会话劫持,如2024年12月事件中,恶意代码窃取40万企业用户的Cookie和HTTP头数据,直接渗透Snowflake、Reddit等企业内网;还有一类是广告欺诈,例如ChromeLoader等恶意扩展通过强制广告点击,单扩展日均牟利超2万美元;
第三是应用商店审核机制失效。
官方商店采用自动化扫描与签名验证,但无法检测多态代码(如动态加载恶意脚本)。2025年1月事件显示,33款恶意扩展通过伪造合规邮件绕过人工审核,260万台设备感染后才被下架。

强化终端安全+浏览器白名单机制,多管齐下抵御风险

奇安信安全专家提醒,广大企业和用户需要关注浏览器扩展程序带来的安全风险,并采取以下预防措施:
加强安全培训,提高安全意识:
教育员工谨慎安装扩展程序,注意甄别“山寨”扩展,避免安装来源不明或未经验证的扩展程序。
采用具备检测恶意扩展程序的安全产品:
部署能够识别并阻止恶意扩展的安全软件,及时发现并处理企业内部运行的恶意扩展程序。
实施扩展程序白名单机制:
企业可根据业务需求,对浏览器扩展程序采用白名单机制,仅允许安装和使用可信的扩展程序,避免员工安装使用未知扩展。以奇安信可信浏览器为例,企业可通过企业浏览器统一管理内部的扩展程序,实施白名单或者黑名单管控机制,可以更有效地防范此类攻击。
部署体系化的整体安全防线:
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
通过以上措施,企业和用户可以有效降低浏览器恶意扩展带来的安全风险,保护自身的数据和隐私安全。

原文始发于微信公众号(奇安信集团):“幽灵插件”肆虐暴露浏览器安全隐患,专家:两招可破解

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月17日20:26:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   幽灵插件肆虐暴露浏览器安全隐患,专家:两招可破解https://cn-sec.com/archives/3851831.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息