Google Chrome同步功能可能会被滥用 C&C 和数据泄露
Lasted 2021-02-06 12:16:12
威胁参与者发现他们可以滥用Google Chrome同步功能,将命令发送到受感染的浏览器并从受感染的系统中窃取数据,从而绕过传统的防火墙和其他网络防御。
对于非Chrome用户,Chrome同步是Chrome网络浏览器的一项功能,可将用户的Chrome书签,浏览历史记录,密码以及浏览器和扩展程序设置的副本存储在Google的云服务器上。
该功能用于在用户的不同设备之间同步这些详细信息,因此无论用户身在何处,始终可以访问其最新的Chrome数据。
Chrome同步功能最近被滥用
克罗地亚安全研究员Bojan Zdrnja周四表示,在最近的事件响应中,他发现恶意的Chrome扩展程序滥用Chrome同步功能,将其作为与远程命令和控制(C&C)服务器进行通信的方式,并且从受感染的浏览器中窃取数据。
Zdrnja表示,在他调查的事件中,攻击者可以访问受害者的计算机,但是由于他们想要窃取的数据位于员工的门户内部,因此他们在用户计算机上下载了Chrome扩展程序,并通过浏览器的Developer Mode加载了该扩展程序。
该扩展是安全公司Forcepoint的一个安全插件,其中包含恶意代码,这些恶意代码滥用了Chrome同步功能,从而使攻击者可以控制受感染的浏览器。
Zdrnja说,此特定攻击者的目标是使用扩展名“在受害者可以访问的内部Web应用程序中处理数据”。
Zdrnja在周四发布的一份报告中说:“尽管他们还想扩展访问权限,但实际上他们将工作站上的活动限制为与Web应用程序相关的活动,这说明了为什么他们只丢弃了恶意的Chrome扩展程序,而没有丢弃任何其他二进制文件的原因。”
在扩展程序中发现的恶意代码表明,攻击者正在使用恶意加载项创建一个基于文本的字段来存储令牌密钥,然后将其作为同步功能的一部分同步到Google云服务器。