Chrome扩展程序引发新型网络攻击，用户隐私面临严重威胁

时间：2025-02-04 16:10

小编：小世评选

最近，网络安全公司SquareX发布了一项令人不安的研究，指出了一种通过Chrome扩展程序发起的新型网络攻击。这一新型攻击手法让用户的隐私面临前所未有的威胁，暴露出Chrome扩展的安全隐患，值得用户的高度警惕和重视。

攻击过程概要

根据SquareX的报告，这种攻击的第一步是攻击者创建一个恶意的Google Workspace域名，并在其中建立多个用户配置文件。为了规避安全防护，攻击者还会禁用多因素身份验证等重要安全功能。这些设置的目的是在潜在的受害者设备上暗中创建一个托管的配置文件，使其为后续攻击做好准备。

攻击者随后伪装成有用且合法的工具，发布具有欺骗性的Chrome扩展程序。这些扩展程序通常会在Chrome网上应用店中挂靠，表面上看似提供了某种实用功能。利用社会工程学技巧，攻击者诱使受害者安装这些看似无害的扩展程序。

隐秘的恶作剧

一旦受害者安装了扩展程序，攻击者便可以开始暗中操作。该扩展将在后台以隐蔽的浏览器窗口，将受害者登录到攻击者所控制的Google Workspace配置文件。为了掩饰这个过程，扩展程序还会在打开的浏览器窗口中展示一个合法的Google支持页面。通过这种方式，受害者很难察觉到任何异常，很容易地落入攻击者的陷阱。

当受害者启用Chrome同步功能后，所有的浏览数据，包括密码、浏览历史记录，甚至书签等信息都将暴露在攻击者面前。攻击者可以在自己的设备上轻松获取这些敏感数据，从而获得约等于在受害者计算机上植入后门的效果。

管理浏览器的风险

随着攻击者控制了受害者的账号文件，他们开始接管整个浏览器。一种常见的方法是通过伪造的Zoom更新进行攻击。当受害者收到Zoom邀约并点击链接后，恶意扩展程序会注入恶意代码，声称需要更新Zoom客户端。这个“更新”实际上是一个包含注册tokens的可执行文件，攻击者通过此文件完全控制了受害者的浏览器。

获得控制权的攻击者可以在不被发现的情况下访问受害者的所有网页应用程序，这意味着他们能够悄悄安装其他恶意扩展程序、重定向用户到钓鱼网站、监控用户文件下载，甚至进行数据修改等。

深入系统的掌控

更为严重的是，攻击者可利用Chrome的Native Messaging API在他们的恶意扩展程序与受害者的操作系统之间建立直接的通信通道。通过这个通道，攻击者能够执行多项恶意行为，包括：

1. 浏览文件目录：获取敏感文件，包括文档和媒体。

2. 修改文件：可对文件进行篡改，或者植入恶意代码。

3. 安装恶意软件：通过在系统内植入恶意程序，持续进行数据窃取。

4. 执行任意命令：无论是查看配置文件还是发送网络请求，攻击者均可完成。

5. 捕获按键：监控用户输入，获取登录凭据。

6. 激活摄像头与麦克风：令人不安的是，攻击者甚至可以远程开启摄像头和麦克风进行监控。

用户该如何应对

面对这种潜在的隐患，用户需采取一系列防范措施。确保只从可信的源安装扩展程序，尽量避免使用不知名来源的应用。检查扩展程序的权限请求，警惕那些要求过多权限的应用。

定期审查已安装的扩展程序，删除不使用或效果不明的扩展。使用强密码、双重认证等增强安全措施。同时，保持浏览器和系统的更新，以减少已知漏洞被利用的风险。