安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
攻击者利用本地加载的Chrome扩展程序进行数据泄露
2021-02-09 20:30:24 【

最近调查的恶意攻击正在滥用本地加载的Chrome扩展程序,以窃取数据并与命令与控制(C&C)服务器建立通信。

尽管在攻击中使用恶意Chrome扩展程序并不是什么新鲜事物,但是由于在浏览器中使用了“开发人员模式”以允许在本地加载恶意扩展程序,因此这种攻击在人群中脱颖而出。

该扩展名被放到受感染工作站上的文件夹中,而直接从浏览器中启用了“开发人员模式”(在“更多工具”->“扩展名”中可用)。任何用户都可以通过单击“加载解包”来利用此合法功能。

SANS Internet Storm Center(ISC)处理程序Bojan Zdrnja解释说,此攻击中使用的恶意加载项声称是Windows版Forcepoint Endpoint Chrome扩展程序,尽管除了被盗的名称与网络安全公司无关。和徽标。

Zdrnja说,这种攻击背后的威胁行动者专注于操纵受害者受害者可以访问的内部Web应用程序中的数据

研究人员说:“尽管他们还想扩展访问权限,但实际上他们将工作站上的活动限制为与Web应用程序有关的活动,这说明了为什么他们只丢弃了恶意的Chrome扩展程序,而没有丢弃任何其他二进制文件的原因。”

对代码的分析表明,攻击者使用了合法的方法来建立侦听器并启用扩展之间的通信。

此外,发现该代码设置的特定密钥已同步到登录受害者的Google云中,从而使攻击者可以使用同一帐户登录自己的Chrome浏览器,然后滥用Google的基础架构与受害者的浏览器进行通信网络。

Zdrnja指出:“尽管在数据大小和请求数量上有一些限制,但这实际上非常适合C&C命令(通常很小)或窃取小但敏感的数据(例如身份验证令牌),”

经过测试和验证后,研究人员确认可以通过这种方式进行C&C通信和数据泄露。由于使用了合法的基础结构,因此很难检测出在此攻击中滥用的请求。

研究人员建议您在本地环境中控制Chrome扩展程序,尤其是因为Google确实允许管理员使用组策略来允许/批准特定扩展程序并阻止所有其他扩展程序。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇微软正在为其一些顶级安全工具提.. 下一篇该Linux恶意软件使用开源软件隐藏..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800