最近調查的惡意攻擊正在濫用本地加載的Chrome擴展程序���,以竊取數據并與命令與控制(C&C)服務器建立通信�。
盡管在攻擊中使用惡意Chrome擴展程序并不是什么新鮮事物�����,但是由于在瀏覽器中使用了“開發(fā)人員模式”以允許在本地加載惡意擴展程序,因此這種攻擊在人群中脫穎而出����。
該擴展名被放到受感染工作站上的文件夾中,而直接從瀏覽器中啟用了“開發(fā)人員模式”(在“更多工具”->“擴展名”中可用)�����。任何用戶都可以通過單擊“加載解包”來利用此合法功能�����。
SANS Internet Storm Center(ISC)處理程序Bojan Zdrnja解釋說�,此攻擊中使用的惡意加載項聲稱是Windows版Forcepoint Endpoint Chrome擴展程序,盡管除了被盜的名稱與網絡安全公司無關����。和徽標。
Zdrnja說�,這種攻擊背后的威脅行動者專注于操縱受害者受害者可以訪問的內部Web應用程序中的數據。
研究人員說:“盡管他們還想擴展訪問權限���,但實際上他們將工作站上的活動限制為與Web應用程序有關的活動��,這說明了為什么他們只丟棄了惡意的Chrome擴展程序����,而沒有丟棄任何其他二進制文件的原因�。”
對代碼的分析表明�����,攻擊者使用了合法的方法來建立偵聽器并啟用擴展之間的通信�。
此外,發(fā)現(xiàn)該代碼設置的特定密鑰已同步到登錄受害者的Google云中��,從而使攻擊者可以使用同一帳戶登錄自己的Chrome瀏覽器���,然后濫用Google的基礎架構與受害者的瀏覽器進行通信網絡�����。
Zdrnja指出:“盡管在數據大小和請求數量上有一些限制��,但這實際上非常適合C&C命令(通常很����。┗蚋`取小但敏感的數據(例如身份驗證令牌),”
經過測試和驗證后����,研究人員確認可以通過這種方式進行C&C通信和數據泄露。由于使用了合法的基礎結構�����,因此很難檢測出在此攻擊中濫用的請求��。
研究人員建議您在本地環(huán)境中控制Chrome擴展程序��,尤其是因為Google確實允許管理員使用組策略來允許/批準特定擴展程序并阻止所有其他擴展程序�����。
經營性網站備案信息
可信網站信用評價
網絡警察提醒您
誠信網站
中國互聯(lián)網舉報中心
網絡舉報APP下載
