Chrome擴(kuò)展新陷阱：同步劫持攻擊如何悄然威脅用戶安全？

近日，網(wǎng)絡(luò)安全領(lǐng)域的知名公司SquareX披露了一起通過(guò)Chrome擴(kuò)展程序?qū)嵤┑男滦途W(wǎng)絡(luò)攻擊事件。此次攻擊不僅手段復(fù)雜，而且隱蔽性極高，受害者只需安裝一個(gè)看似無(wú)害的Chrome擴(kuò)展程序，便可能在不知不覺(jué)中落入陷阱。

據(jù)SquareX發(fā)布的報(bào)告，攻擊者的第一步是創(chuàng)建一個(gè)惡意的Google Workspace域名，并在其中配置多個(gè)用戶賬號(hào)，同時(shí)關(guān)閉多因素身份驗(yàn)證等安全設(shè)置。這個(gè)Workspace域名將在后臺(tái)用于在受害者的設(shè)備上創(chuàng)建托管賬戶。

接下來(lái)，攻擊者會(huì)精心制作一個(gè)偽裝成有用工具的Chrome擴(kuò)展程序，這個(gè)程序表面上具有合法功能，但實(shí)際上卻暗藏玄機(jī)。攻擊者將其上傳到Chrome網(wǎng)上應(yīng)用店，并利用社會(huì)工程學(xué)手段誘騙受害者下載安裝。

一旦受害者安裝了該擴(kuò)展程序，它便會(huì)在后臺(tái)悄無(wú)聲息地工作，通過(guò)隱藏的瀏覽器窗口將受害者登錄到攻擊者托管的Google Workspace賬戶之一。隨后，擴(kuò)展程序會(huì)打開一個(gè)看似正常的Google支持頁(yè)面，并利用其讀寫網(wǎng)頁(yè)的權(quán)限，在頁(yè)面中插入指令，誘導(dǎo)用戶啟用Chrome同步功能。

一旦受害者啟用了同步功能，其存儲(chǔ)在Chrome中的所有數(shù)據(jù)，包括密碼、瀏覽歷史記錄等敏感信息，都將被攻擊者輕易獲取。攻擊者隨后便可以在自己的設(shè)備上使用這些被盜用的賬戶信息。

在成功控制受害者的賬戶后，攻擊者會(huì)進(jìn)一步接管其瀏覽器。在SquareX的演示案例中，這是通過(guò)偽造Zoom更新來(lái)實(shí)現(xiàn)的。當(dāng)受害者收到一個(gè)Zoom邀請(qǐng)并點(diǎn)擊鏈接時(shí)，擴(kuò)展程序會(huì)注入惡意內(nèi)容，聲稱Zoom客戶端需要更新。然而，這個(gè)所謂的“更新”實(shí)際上是一個(gè)包含注冊(cè)令牌的可執(zhí)行文件，一旦下載并運(yùn)行，攻擊者便能完全控制受害者的瀏覽器。

一旦注冊(cè)完成，攻擊者便獲得了對(duì)受害者瀏覽器的絕對(duì)控制權(quán)，這意味著他們可以靜默地訪問(wèn)所有Web應(yīng)用程序、安裝其他惡意擴(kuò)展程序、將用戶重定向到釣魚網(wǎng)站、監(jiān)控或修改文件下載等行為。更為嚴(yán)重的是，通過(guò)利用Chrome的Native Messaging API，攻擊者還能在惡意擴(kuò)展程序和受害者的操作系統(tǒng)之間建立直接通信通道，從而瀏覽目錄、修改文件、安裝惡意軟件、執(zhí)行任意命令、捕獲按鍵輸入、提取敏感數(shù)據(jù)，甚至激活受害者的網(wǎng)絡(luò)攝像頭和麥克風(fēng)。