关键词
Chrome
LayerX已经发现了三个协调的网络钓鱼活动涉及的40多个恶意浏览器扩展程序 – 许多仍然存在于Chrome网上商店中 – 对个人和组织都构成重大风险。
这项研究建立在DomainTools Intelligence(DTI)团队的早期发现的基础,揭示了这些活动的内部运作以及攻击者渗透用户浏览器以窃取数据,冒充身份和破坏公司网络的惊人易用性。
“LayerX已经确定了40多个恶意浏览器扩展,这些扩展程序是三种不同网络钓鱼活动的一部分。与针对零日漏洞的复杂漏洞漏洞漏洞不同,此活动依赖于欺骗性品牌和可信平台来吸引用户自愿安装恶意工具。这些扩展伪装成:
-
Fortinet VPN(英语:FortiVPN) -
Calendly 调度助理 -
加密公用事业,如DeBank和AML部门 -
人工智能生产力工具和YouTube助手
“这些扩展是经过精心制作的,以模仿知名平台……有效地绕过了用户的怀疑,”LayerX报道。
安装后,每个扩展程序都会允许威胁行为者持续访问用户会话,允许他们窃取 Cookie、会话令牌、注入恶意脚本,甚至在企业环境中冒充用户。LayerX研究人员发现,许多扩展着陆页是使用AI工具生成的,导致数十个条目中异常均匀的元数据和格式。
“恶意扩展页面表现出高度相似的结构……指出它们使用AI工具自动生成的可能性,”研究人员指出。
此外,攻击者注册了类似的域名(例如,calendly-daily [.]com,aiwriter[.]expert,crypto-whale[.]top),并使用匹配的电子邮件(如support@domain-name)看起来是合法的。
与从 Chrome Store 中删除的恶意应用程序不同,这些扩展程序可以无限期地在用户浏览器上保持活动状态,如果不是手动删除。
“从商店中删除不会从用户的浏览器中删除活动安装,”LayerX警告说。
随着企业员工越来越依赖基于浏览器的工具,这些扩展作为云应用程序、敏感文档和受会话保护数据的静音后门。
LayerX建议针对这种不断上升的浏览器威胁进行几种可操作的防御:
- 执行扩展卫生:
-
阻止来自未知或未经验证的出版商的扩展。 -
限制最近发布的扩展,具有低评论或可疑权限。 -
使用欺骗品牌名称或可疑域监控扩展。 - 按扩展 ID 划分的块:
-
使用 MDM 或浏览器策略执行来阻止已知的恶意扩展 ID(在 LayerX 的完整报告中提供)。 - 持续浏览器安全监控:
-
实施持续评估扩展行为、风险和政策合规性的工具。
END
阅读推荐
【安全圈】美国起诉与勒索软件攻击有关的Qakbot僵尸网络领导人
【安全圈】警方在全球打击行动中逮捕了270名暗网供应商和买家
【安全圈】打印机制造商Procolled数月来一直提供恶意软件驱动程序
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论