吳明宜一項研究發現,官方 Chrome Web Store 內有超過 100 個惡意擴充功能一旦安裝,可能會竊取 Google OAuth2 Bearer 權杖、部署後門程式及實施廣告詐欺。
應用安全廠商 Socket 研究人員發現,這批惡意擴充功能是使用同一個 C&C(command-and-control) 基礎架構攻擊行動的一部份。研究人員表示,駭客以五個出版商化名,分五個類別發佈這批惡意 Chrome 擴充功能:Telegram 側邊欄用戶端、吃角子老虎與 Keno Games 、 YouTube 和 TikTok 改良器、文字翻譯工具和公用程式。
研究人員指出,這波攻擊使用的中央化後端架在 Contabo VPS 上,有多個子網域處理工作階段劫持、身份蒐集、指令執行和營利 (monetization) 操作。 Socket 研究團隊根據驗證和工作階段竊取的程式碼註釋發現到的證據,指向俄羅斯惡意程式即服務 (malware-as-a-service, MaaS) 。
惡意 Chrome 擴充功能分組與行為分析
蒐集資料和劫持帳號方面,最大一群有 78 個擴充功能,可能透過 innerHTML 在使用者介面注入攻擊者控制的 HTML 。第二大群有 54 個擴充功能,它們使用 chrome.identity.getAuthToken 蒐集受害使用者的電子郵件信箱、姓名、個人資料相片和 Google 帳號 ID 。此外還可能竊取 Google OAuth2 Bearer 權杖 (token),這個權杖允許應用程式存取使用者資料或以其名義執行。
第三群有 45 個擴充功能,是在瀏覽器啟動時執行的隱藏功能,其功能為後門程式,能從 C2 伺服器擷取指令,也能開啟任意 URL,這些行為的發生都不需使用者和擴充功能互動。
Socket 研究人員特別指出某個擴充功能最為嚴重,它能每 15 秒鐘竊取 Telegram Web 工作階段,從「localStorage」擷取工作階段資料及 Telegram Web 的工作階段權杖 (token),再送向 C2 伺服器。這讓駭客得以將任何受害者瀏覽器,偷偷換成不同 Telegram 帳號。
研究人員還發現三個擴充功能,能剝除安全標頭並在 YouTube 和 TikTok 影片注入廣告,一個能將翻譯請求送到惡意伺服器,以及一個竊取非活動 Telegram 工作階段的擴充功能。
Socket 已將研究發現通報 Google,但警告在報告發表期間所有惡意擴充功能仍掛在 Chrome Web Store 上。 BleepingComputer 證實 Socket 報告中的擴充功能目前也還在 Chrome Web Store 上,Google 尚未對此回應。使用者最好比對 Socket 公佈的擴充功能 ID,並移除已安裝的 Chrome 擴充功能。