Google Chrome同步功能可能會被濫用 C&C 和數據洩露

安全研究人員在Chrome同步過程中發現了惡意的Chrome擴展程序

最近更新時間 2021-02-06 12:16:12

Chrome sync

威脅參與者發現他們可以濫用Google Chrome同步功能,將命令發送到受感染的瀏覽器並從受感染的系統中竊取數據,從而繞過傳統的防火牆和其他網絡防禦。

對於非Chrome用戶,Chrome同步是Chrome網絡瀏覽器的一項功能,可將用戶的Chrome書籤,瀏覽歷史記錄,密碼以及瀏覽器和擴展程序設置的副本存儲在Google的雲服務器上。

該功能用於在用戶的不同設備之間同步這些詳細信息,因此無論用戶身在何處,始終可以訪問其最新的Chrome數據。

Chrome同步功能最近被濫用

克羅地亞安全研究員Bojan Zdrnja週四表示,在最近的事件響應中,他發現惡意的Chrome擴展程序濫用Chrome同步功能,將其作為與遠程命令和控制(C&C)服務器進行通信的方式,並且從受感染的瀏覽器中竊取數據。

Zdrnja表示,在他調查的事件中,攻擊者可以訪問受害者的計算機,但是由於他們想要竊取的數據位於員工的門戶內部,因此他們在用戶計算機上下載了Chrome擴展程序,並通過瀏覽器的Developer Mode加載了該擴展程序。

該擴展是安全公司Forcepoint的一個安全插件,其中包含惡意代碼,這些惡意代碼濫用了Chrome同步功能,從而使攻擊者可以控制受感染的瀏覽器。

Zdrnja說,此特定攻擊者的目標是使用擴展名“在受害者可以訪問的內部Web應用程序中處理數據”。

Zdrnja在週四發佈的一份報告中說:“儘管他們還想擴展訪問權限,但實際上他們將工作站上的活動限制為與Web應用程序相關的活動,這說明了為什麼他們只丟棄了惡意的Chrome擴展程序,而沒有丟棄任何其他二進制文件的原因。”

在擴展程序中發現的惡意代碼表明,攻擊者正在使用惡意加載項創建一個基於文本的字段來存儲令牌密鑰,然後將其作為同步功能的一部分同步到Google雲服務器。

rss_feed