至少 35 個(gè) Chrome 擴(kuò)展被劫持，新細(xì)節(jié)揭示了黑客的攻擊手法 - 網(wǎng)絡(luò)安全

據(jù)BleepingComputer消息，近期，黑客針對多個(gè)Chrome擴(kuò)展程序進(jìn)行了攻擊，數(shù)十萬用戶受到影響。隨著調(diào)查的深入，一些攻擊活動(dòng)細(xì)節(jié)也得到了披露。

根據(jù)最新調(diào)查，攻擊導(dǎo)致至少 35 個(gè)擴(kuò)展程序被植入數(shù)據(jù)竊取代碼，較之前的初步懷疑數(shù)量直接翻倍，其中包括來自網(wǎng)絡(luò)安全公司 Cyberhaven 的擴(kuò)展。盡管最初的報(bào)道集中在 Cyberhaven 的安全擴(kuò)展上，但隨后的調(diào)查顯示，這些擴(kuò)展被大約 260 萬人使用。

根據(jù) LinkedIn 和Google Groups 上目標(biāo)開發(fā)者的報(bào)告，攻擊活動(dòng)大約在 2024 年12 月5 日開始。然而，BleepingComputer 發(fā)現(xiàn)的早期命令和控制子域名早在 2024 年 3 月就已經(jīng)存在。

一個(gè)欺騙性的 OAuth 攻擊鏈

攻擊始于直接發(fā)送給 Chrome 擴(kuò)展開發(fā)者或通過與其域名關(guān)聯(lián)的支持郵箱發(fā)送的釣魚郵件。 BleepingComputer 發(fā)現(xiàn)以下域名在此活動(dòng)中被用來發(fā)送釣魚郵件：

supportchromestore.com
forextensions.com
chromeforextension.com

釣魚郵件偽裝成來自 Google官方，聲稱擴(kuò)展違反了 Chrome Web Store 政策，并面臨被刪除的風(fēng)險(xiǎn)。

“我們不允許擴(kuò)展包含誤導(dǎo)性、格式不良、非描述性、無關(guān)、過多或不適當(dāng)?shù)脑獢?shù)據(jù)，包括但不限于擴(kuò)展描述、開發(fā)者名稱、標(biāo)題、圖標(biāo)、截圖和宣傳圖片，”釣魚郵件中寫道。

具體來說，擴(kuò)展開發(fā)者被引導(dǎo)相信其軟件描述包含誤導(dǎo)信息，必須同意 Chrome Web Store 政策。

攻擊中使用的網(wǎng)絡(luò)釣魚電子郵件

如果開發(fā)者點(diǎn)擊嵌入的“前往政策”按鈕以了解他們違反了哪些規(guī)則，他們將被帶到一個(gè) Google 域上含有惡意OAuth 應(yīng)用程序的合法登錄頁面，該頁面是 Google 標(biāo)準(zhǔn)授權(quán)流程的一部分，旨在安全地授予第三方應(yīng)用程序訪問特定 Google 賬戶資源的權(quán)限。

在該平臺(tái)上，攻擊者托管了一個(gè)名為“隱私政策擴(kuò)展”的惡意 OAuth 應(yīng)用程序，要求受害者授予通過其賬戶管理 Chrome Web Store 擴(kuò)展的權(quán)限。在這過程中，多因素認(rèn)證（MFA）并未幫助開發(fā)者保護(hù)賬戶，因?yàn)?OAuth 授權(quán)流程中不需要直接批準(zhǔn)，而是默認(rèn)用戶完全理解他們授予的權(quán)限范圍。

權(quán)限審批提示

Cyberhaven 在事后分析中解釋道，有員工遵循了標(biāo)準(zhǔn)流程，無意中授權(quán)了這個(gè)惡意的第三方應(yīng)用程序。但員工啟用了 Google 高級(jí)保護(hù)，并且賬戶覆蓋了 MFA，且在過程中沒有收到 MFA 提示，員工的 Google 憑證未被泄露。

一旦威脅行為者獲得了擴(kuò)展開發(fā)者賬戶的訪問權(quán)限，便會(huì)修改擴(kuò)展，加入“worker.js”和“content.js” 兩個(gè)惡意文件，其中包含從 Facebook 賬戶竊取數(shù)據(jù)的代碼。

這些惡意擴(kuò)展隨后作為新版本發(fā)布在 Chrome Web Store 。雖然 Extension Total 正在跟蹤受此釣魚活動(dòng)影響的 35 個(gè)擴(kuò)展，但攻擊的 IOC 表明，目標(biāo)數(shù)量遠(yuǎn)不止這些。

根據(jù) VirusTotal 的數(shù)據(jù)，攻擊者為目標(biāo)擴(kuò)展預(yù)注冊了域名。雖然大多數(shù)域名是在 11 月和 12 月創(chuàng)建的，但 BleepingComputer 發(fā)現(xiàn)攻擊者在 2024 年3 月就在對攻擊進(jìn)行測試。

網(wǎng)絡(luò)釣魚活動(dòng)中使用的早期子域

針對 Facebook 商業(yè)賬戶

對受感染機(jī)器的設(shè)備顯示，攻擊者瞄準(zhǔn)了惡意擴(kuò)展受害者的Facebook 賬戶，試圖通過數(shù)據(jù)竊取代碼獲取 Facebook ID 、訪問令牌、賬戶信息、廣告賬戶信息和商業(yè)賬戶。

竊取Facebook數(shù)據(jù)的擴(kuò)展程序

此外，惡意代碼還添加了一個(gè)鼠標(biāo)點(diǎn)擊事件監(jiān)聽器，專門用于受害者在 Facebook.com 上的交互，尋找與平臺(tái)的雙因素認(rèn)證或 CAPTCHA 機(jī)制相關(guān)的 QR 碼圖像，從而試圖繞過 Facebook 賬戶的 2FA 保護(hù)并劫持賬戶。

被盜信息將與 Facebook cookie 、用戶代理字符串、 Facebook ID 和鼠標(biāo)點(diǎn)擊事件一起打包，并外泄到攻擊者的命令和控制（C2）服務(wù)器。

攻擊者一直在通過各種攻擊途徑針對 Facebook 商業(yè)賬戶，以直接從受害者的信用卡竊取資金、發(fā)布虛假信息、執(zhí)行釣魚活動(dòng)，或通過出售訪問權(quán)限來獲利。