Chrome擴(kuò)展新陷阱：同步劫持攻擊如何悄然威脅用戶安全？

近日，網(wǎng)絡(luò)安全領(lǐng)域的知名公司SquareX披露了一起通過Chrome擴(kuò)展程序?qū)嵤┑男滦途W(wǎng)絡(luò)攻擊事件。此次攻擊不僅手段復(fù)雜，而且隱蔽性極高，受害者只需安裝一個看似無害的Chrome擴(kuò)展程序，便可能在不知不覺中落入陷阱。

據(jù)SquareX發(fā)布的報告，攻擊者的第一步是創(chuàng)建一個惡意的Google Workspace域名，并在其中配置多個用戶賬號，同時關(guān)閉多因素身份驗證等安全設(shè)置。這個Workspace域名將在后臺用于在受害者的設(shè)備上創(chuàng)建托管賬戶。

接下來，攻擊者會精心制作一個偽裝成有用工具的Chrome擴(kuò)展程序，這個程序表面上具有合法功能，但實際上卻暗藏玄機(jī)。攻擊者將其上傳到Chrome網(wǎng)上應(yīng)用店，并利用社會工程學(xué)手段誘騙受害者下載安裝。

一旦受害者安裝了該擴(kuò)展程序，它便會在后臺悄無聲息地工作，通過隱藏的瀏覽器窗口將受害者登錄到攻擊者托管的Google Workspace賬戶之一。隨后，擴(kuò)展程序會打開一個看似正常的Google支持頁面，并利用其讀寫網(wǎng)頁的權(quán)限，在頁面中插入指令，誘導(dǎo)用戶啟用Chrome同步功能。

一旦受害者啟用了同步功能，其存儲在Chrome中的所有數(shù)據(jù)，包括密碼、瀏覽歷史記錄等敏感信息，都將被攻擊者輕易獲取。攻擊者隨后便可以在自己的設(shè)備上使用這些被盜用的賬戶信息。

在成功控制受害者的賬戶后，攻擊者會進(jìn)一步接管其瀏覽器。在SquareX的演示案例中，這是通過偽造Zoom更新來實現(xiàn)的。當(dāng)受害者收到一個Zoom邀請并點擊鏈接時，擴(kuò)展程序會注入惡意內(nèi)容，聲稱Zoom客戶端需要更新。然而，這個所謂的“更新”實際上是一個包含注冊令牌的可執(zhí)行文件，一旦下載并運行，攻擊者便能完全控制受害者的瀏覽器。

一旦注冊完成，攻擊者便獲得了對受害者瀏覽器的絕對控制權(quán)，這意味著他們可以靜默地訪問所有Web應(yīng)用程序、安裝其他惡意擴(kuò)展程序、將用戶重定向到釣魚網(wǎng)站、監(jiān)控或修改文件下載等行為。更為嚴(yán)重的是，通過利用Chrome的Native Messaging API，攻擊者還能在惡意擴(kuò)展程序和受害者的操作系統(tǒng)之間建立直接通信通道，從而瀏覽目錄、修改文件、安裝惡意軟件、執(zhí)行任意命令、捕獲按鍵輸入、提取敏感數(shù)據(jù)，甚至激活受害者的網(wǎng)絡(luò)攝像頭和麥克風(fēng)。