摘要：网络安全公司 SquareX 昨日（1 月 30 日）发布博文，报告通过 Chrome 扩展程序发起的新型攻击，攻击过程虽然复杂，但却非常隐蔽，所需的权限极少，受害者除了安装看似合法的 Chrome 扩展程序外几乎无需任何操作。

IT之家 1 月 31 日消息，网络安全公司 SquareX 昨日（1 月 30 日）发布博文，报告通过 Chrome 扩展程序发起的新型攻击，攻击过程虽然复杂，但却非常隐蔽，所需的权限极少，受害者除了安装看似合法的 Chrome 扩展程序外几乎无需任何操作。

IT之家援引博文介绍，攻击者首先创建一个恶意的 Google Workspace 域名，并在其中设置多个用户配置文件，并禁用多因素身份验证等安全功能，此 Workspace 域名将在后台用于在受害者设备上创建托管配置文件。

攻击者会将伪装成有用工具且具有合法功能的浏览器扩展程序，并发布到 Chrome 网上应用店，然后利用社会工程学诱骗受害者安装该扩展程序。

该扩展程序会在后台静默地以隐藏的浏览器窗口将受害者登录到攻击者托管的 Google Workspace 配置文件之一。

扩展程序会打开一个合法的 Google 支持页面。由于它拥有对网页的读写权限，它会在页面中注入内容，指示用户启用 Chrome 同步功能。

一旦同步，所有存储的数据（包括密码和浏览历史记录）都将被攻击者访问，攻击者现在可以在自己的设备上使用被盗用的配置文件。

攻击者控制受害者的账号文件后，攻击者会着手接管浏览器。在 SquareX 的演示中，这是通过伪造的 Zoom 更新完成的。

研究人员强调的场景是，受害者可能会收到一个 Zoom 邀请，当他们点击并转到 Zoom 网页时，该扩展程序会注入恶意内容，声称 Zoom 客户端需要更新。然而，此下载是一个包含注册 tokens 的可执行文件，让攻击者可以完全控制受害者的浏览器。

一旦注册完成，攻击者就获得了对受害者浏览器的完全控制权，允许他们静默访问所有 Web 应用程序、安装其他恶意扩展程序、将用户重定向到钓鱼网站、监控 / 修改文件下载等等。

通过利用 Chrome 的 Native Messaging API，攻击者可以在恶意扩展程序和受害者的操作系统之间建立直接通信通道。这使他们能够浏览目录、修改文件、安装恶意软件、执行任意命令、捕获按键、提取敏感数据，甚至激活网络摄像头和麦克风。

来源：IT之家