quange
新细节显示,针对 Chrome 浏览器扩展开发者的一项钓鱼活动导致至少 35 个扩展程序被入侵,注入了窃取数据的代码,其中包括来自网络安全公司 Cyberhaven 的扩展程序。
尽管最初报道集中在 Cyberhaven 的安全扩展上,但随后的调查发现,相同的代码已被注入至少 35 个扩展程序中,这些扩展程序被大约 260 万人共同使用。
从 LinkedIn 和 Google Groups 上针对开发者的报道来看,最新的活动始于 2024 年 12 月 5 日左右。然而,BleepingComputer 发现的早期命令和控制子域名最早可追溯到 2024 年 3 月。
“我只想提醒大家注意我们收到的一封比平时更复杂的钓鱼邮件,邮件中提到 Chrome 扩展策略违规,形式为:‘描述中不必要的细节’,”这篇帖子发布在谷歌小组的 Chromium 扩展小组中。
“这封邮件中的链接看起来像是网店,但实际上会跳转到钓鱼网站,试图控制您的 Chrome 扩展程序,并可能用恶意软件更新它。”
一个欺骗性的 OAuth 攻击链
攻击始于直接发送给 Chrome 扩展开发者或通过与其域名相关的支持邮箱的钓鱼邮件。
从 BleepingComputer 看到的邮件中,以下域名被用于此次活动中发送钓鱼邮件:
supportchromestore.com
forextensions.com
chromeforextension.com
钓鱼邮件伪装成来自谷歌,声称该扩展违反了 Chrome 应用商店政策,面临被移除的风险。
"我们不允许包含误导性、格式不佳、缺乏描述性、不相关、过多或不恰当的元数据扩展,包括但不限于扩展描述、开发者名称、标题、图标、截图和推广图片,”钓鱼邮件中写道。
具体来说,扩展程序的开发商被引导相信他们的软件描述包含误导性信息,并必须同意 Chrome Web Store 的政策。
如果开发者点击嵌入的“前往政策”按钮,试图了解他们违反了哪些规则,他们将被带到谷歌域名的恶意 OAuth 应用的合法登录页面。
该页面是谷歌标准授权流程的一部分,旨在安全地授予第三方应用程序访问特定谷歌账户资源的权限。
恶意认证请求
来源:Cyberhaven
在该平台上,攻击者托管了一个名为“隐私政策扩展”的恶意 OAuth 应用程序,要求受害者通过他们的账户授权管理 Chrome Web Store 扩展。
当您允许此访问权限时,隐私策略扩展将能够:查看、编辑、更新或发布您有权访问的 Chrome Web Store 扩展、主题、应用和许可证,”OAuth 授权页面显示。
权限审批提示
来源:Cyberhaven
多因素认证并未帮助保护账户,因为 OAuth 授权流程中不需要直接批准,并且该过程假定用户完全理解他们所授予的权限范围。
员工遵循了标准流程,不慎授权了这款恶意第三方应用程序,Cyberhaven 在事后报告中解释道。
员工启用了谷歌高级保护并对其账户实施了多因素认证。员工没有收到多因素认证提示。员工的谷歌凭证未受到损害。
一旦威胁行为者获取了扩展开发者账户的访问权限,他们修改了扩展程序,加入了两个恶意文件,即“worker.js”和“content.js”,其中包含从 Facebook 账户窃取数据的代码。
被劫持的扩展随后在 Chrome Web Store 上发布为“新版本”。
尽管扩展总数追踪到受此钓鱼活动影响的扩展有 35 个,但攻击中的 IOCs 表明,被针对的数量要大得多。
根据 VirusTotal,攻击者预先注册了针对特定扩展名的域名,即使他们没有中招。
尽管大多数域名是在 11 月和 12 月创建的,但 BleepingComputer 发现威胁行为者在 2024 年 3 月测试了这次攻击。
早期用于钓鱼活动的子域名
来源:BleepingComputer
针对 Facebook 商业账户
分析受感染的机器显示,攻击者针对的是中毒扩展程序的用户的 Facebook 账户。
具体来说,窃取数据的代码试图获取用户的 Facebook ID、访问令牌、账户信息、广告账户信息和商业账户。
Facebook 数据被劫持扩展程序窃取
来源:Cyberhaven
此外,恶意代码还添加了一个专门针对受害者与 Facebook.com 交互的鼠标点击事件监听器,寻找与该平台双因素认证或 CAPTCHA 机制相关的二维码图像。
这旨在绕过 Facebook 账户的二次验证保护,并允许威胁行为者劫持它。
被盗信息将与 Facebook cookies、用户代理字符串、Facebook ID 以及鼠标点击事件打包在一起,并传输到攻击者的指挥和控制(C2)服务器。
威胁行为者通过各种攻击途径针对 Facebook 商业账户,从受害者的信用卡直接向其账户付款,在社交媒体平台上运行虚假信息或钓鱼活动,或将他们的访问权限出售给他人以盈利。
