至少 35 个 Chrome 扩展被劫持，新细节揭示了黑客的攻击手法

据BleepingComputer消息，至少展被近期 ，个C攻击黑客针对多个Chrome扩展程序进行了攻击
，扩客数十万用户受到影响。劫持节揭随着调查的新细深入，一些攻击活动细节也得到了披露 。示黑手法

根据最新调查，至少展被攻击导致至少 35 个扩展程序被植入数据窃取代码，个C攻击较之前的扩客初步怀疑数量直接翻倍，其中包括来自网络安全公司 Cyberhaven 的劫持节揭扩展。尽管最初的新细报道集中在 Cyberhaven 的安全扩展上 ，但随后的云计算示黑手法调查显示，这些扩展被大约 260 万人使用。至少展被

根据 LinkedIn 和Google Groups 上目标开发者的个C攻击报告，攻击活动大约在 2024 年12 月5 日开始。扩客然而，BleepingComputer 发现的早期命令和控制子域名早在 2024 年 3 月就已经存在 。

攻击始于直接发送给 Chrome 扩展开发者或通过与其域名关联的支持邮箱发送的钓鱼邮件。 BleepingComputer 发现以下域名在此活动中被用来发送钓鱼邮件
：

钓鱼邮件伪装成来自 Google官方，声称扩展违反了 Chrome Web Store 政策，并面临被删除的风险 
。建站模板

“我们不允许扩展包含误导性、格式不良 、非描述性
、无关、过多或不适当的元数据 ，包括但不限于扩展描述、开发者名称、标题 、图标、截图和宣传图片 ，”钓鱼邮件中写道。

具体来说 ，扩展开发者被引导相信其软件描述包含误导信息，必须同意 Chrome Web Store 政策
。

攻击中使用的源码库网络钓鱼电子邮件

如果开发者点击嵌入的“前往政策”按钮以了解他们违反了哪些规则，他们将被带到一个 Google 域上含有恶意OAuth 应用程序的合法登录页面 ，该页面是 Google 标准授权流程的一部分 ，旨在安全地授予第三方应用程序访问特定 Google 账户资源的权限 。

在该平台上
 ，攻击者托管了一个名为“隐私政策扩展”的恶意 OAuth 应用程序
，要求受害者授予通过其账户管理 Chrome Web Store 扩展的权限 。在这过程中 ，多因素认证（MFA）并未帮助开发者保护账户 ，模板下载因为 OAuth 授权流程中不需要直接批准
，而是默认用户完全理解他们授予的权限范围 。

权限审批提示

Cyberhaven 在事后分析中解释道，有员工遵循了标准流程，无意中授权了这个恶意的第三方应用程序。但员工启用了 Google 高级保护，并且账户覆盖了 MFA，且在过程中没有收到 MFA 提示，员工的 Google 凭证未被泄露 。

一旦威胁行为者获得了扩展开发者账户的访问权限，便会修改扩展，高防服务器加入“worker.js”和“content.js” 两个恶意文件，其中包含从 Facebook 账户窃取数据的代码 。

这些恶意扩展随后作为新版本发布在 Chrome Web Store 。虽然 Extension Total 正在跟踪受此钓鱼活动影响的 35 个扩展 ，但攻击的 IOC 表明
，目标数量远不止这些 。

根据 VirusTotal 的数据 ，攻击者为目标扩展预注册了域名 。虽然大多数域名是在 11 月和 12 月创建的 ，但 BleepingComputer 发现攻击者在 2024 年3 月就在对攻击进行测试 。服务器租用

网络钓鱼活动中使用的早期子域

对受感染机器的设备显示，攻击者瞄准了恶意扩展受害者的Facebook 账户，试图通过数据窃取代码获取 Facebook ID 、访问令牌、账户信息、广告账户信息和商业账户 。

窃取Facebook数据的扩展程序

此外 ，恶意代码还添加了一个鼠标点击事件监听器，专门用于受害者在 Facebook.com 上的交互，寻找与平台的双因素认证或 CAPTCHA 机制相关的 QR 码图像
，从而试图绕过 Facebook 账户的 2FA 保护并劫持账户。

被盗信息将与 Facebook cookie 
、用户代理字符串、 Facebook ID 和鼠标点击事件一起打包
，并外泄到攻击者的命令和控制（C2）服务器 
。

攻击者一直在通过各种攻击途径针对 Facebook 商业账户 ，以直接从受害者的信用卡窃取资金、发布虚假信息 、执行钓鱼活动，或通过出售访问权限来获利 。

最新评论