IT之家 1 月 31 日消息，潛伏網絡安全公司 SquareX 昨日（1 月 30 日）發布博文，脅新型報告通過 Chrome 擴展程序發起的瀏覽器新型攻擊，攻擊過程雖然復雜，擴展但卻非常隱蔽，同步所需的劫持權限極少，受害者除了安裝看似合法的攻擊 Chrome 擴展程序外幾乎無需任何操作。

IT之家援引博文介紹，曝光攻擊者首先創建一個惡意的潛伏 Google Workspace 域名，并在其中設置多個用戶配置文件，脅新型并禁用多因素身份驗證等安全功能，瀏覽器此 Workspace 域名將在后臺用于在受害者設備上創建托管配置文件。擴展

攻擊者會將偽裝成有用工具且具有合法功能的同步瀏覽器擴展程序，并發布到 Chrome 網上應用店，劫持然后利用社會工程學誘騙受害者安裝該擴展程序。攻擊

該擴展程序會在后臺靜默地以隱藏的瀏覽器窗口將受害者登錄到攻擊者托管的 Google Workspace 配置文件之一。

擴展程序會打開一個合法的 Google 支持頁面。由于它擁有對網頁的讀寫權限，它會在頁面中注入內容，指示用戶啟用 Chrome 同步功能。

一旦同步，所有存儲的數據（包括密碼和瀏覽歷史記錄）都將被攻擊者訪問，攻擊者現在可以在自己的設備上使用被盜用的配置文件。

攻擊者控制受害者的賬號文件后，攻擊者會著手接管瀏覽器。在 SquareX 的演示中，這是通過偽造的 Zoom 更新完成的。

研究人員強調的場景是，受害者可能會收到一個 Zoom 邀請，當他們點擊并轉到 Zoom 網頁時，該擴展程序會注入惡意內容，聲稱 Zoom 客戶端需要更新。然而，此下載是一個包含注冊 tokens 的可執行文件，讓攻擊者可以完全控制受害者的瀏覽器。

一旦注冊完成，攻擊者就獲得了對受害者瀏覽器的完全控制權，允許他們靜默訪問所有 Web 應用程序、安裝其他惡意擴展程序、將用戶重定向到釣魚網站、監控 / 修改文件下載等等。

通過利用 Chrome 的 Native Messaging API，攻擊者可以在惡意擴展程序和受害者的操作系統之間建立直接通信通道。這使他們能夠瀏覽目錄、修改文件、安裝惡意軟件、執行任意命令、捕獲按鍵、提取敏感數據，甚至激活網絡攝像頭和麥克風。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。