在最近的一个爆料中, sqrx.com 的网络安全研究人员 我们发现了一种复杂的攻击方法,恶意浏览器扩展程序可以冒充合法扩展程序,对用户安全和隐私构成重大风险。本文将介绍这种攻击以及一些需要注意的迹象,以帮助您保护自己免受攻击。
这种新颖的技术允许恶意的 Web 浏览器扩展程序实时伪装成任何已安装的插件。恶意扩展程序会创建目标图标、HTML 弹出窗口和工作流的像素级完美副本,甚至会暂时禁用合法扩展程序。这种欺骗手段极具欺骗性,让受害者误以为他们正在与真正的扩展程序进行交互。
此次攻击主要针对基于 Chromium 的 Web 浏览器,包括 Google Chrome、Microsoft Edge、Brave 和 Opera。用户通常会将扩展程序固定到浏览器工具栏以便于访问。攻击者利用此行为,发布一个伪装成实用程序的多态扩展程序。虽然该插件提供了宣传的功能以避免引起怀疑,但它会在后台激活恶意功能。它使用一种称为“Web 资源命中”的技术来扫描与特定目标扩展程序相关的 Web 资源是否存在。
一旦找到合适的目标扩展程序,恶意扩展程序就会伪装成合法扩展程序的副本。这包括将恶意扩展程序的图标更改为与目标扩展程序的图标匹配,并通过“chrome.management”API暂时禁用实际的插件,从而将其从工具栏中移除。
攻击者可以利用收集到的凭证劫持在线账户,未经授权访问敏感的个人和财务信息。这种攻击利用了人类依赖视觉线索进行确认的倾向,使其极其有效。在下面的视频中,研究人员展示了这种攻击如何促使用户重新向 1Password 密码管理器进行身份验证,并且需要输入密钥(如果没有绝对的把握,请勿这样做)。
为了防范此类多态扩展攻击,用户和组织应考虑以下措施:
我们还鼓励浏览器开发者加强安全措施,限制扩展程序图标和 HTML 的突然更改,或至少在发生此类更改时通知用户。这种主动方法有助于降低与多态扩展程序攻击相关的风险。
随着网络安全形势的不断发展,保持知情并采取强有力的安全措施对于防范多态扩展攻击等新兴威胁至关重要。
还没准备好注册,但想了解更多?欢迎参加我们每月一次的网络研讨会,观看 CyberHoot 演示、提问并了解最新动态。点击下方绿色方框即可注册。你想注册,我懂!
发现并分享最新的网络安全趋势、技巧和最佳实践——以及需要注意的新威胁。
