行業新聞與博客

安全研究人員警告説，一種新的攻擊可能會使惡意擴展程序以最少的用户交互獲得對目標瀏覽器和設備的完全控制。

SquareX 表示，到目前為止，瀏覽器供應商對擴展生態系統的限制被認為使得這種攻擊不可能發生。

然而，一種新的“瀏覽器同步劫持”技術似乎推翻了這一假設。

它包括三個階段。

首先，一名員工在不知情的情況下安裝了惡意擴展程序，然後該擴展程序秘密地將其身份驗證到由攻擊者的 Google Workspace 管理的 Chrome 配置文件中。

SquareX 解釋説，一旦發生這種身份驗證，攻擊者就可以完全控制受害者瀏覽器中的新管理配置文件，從而使他們能夠推送自動化策略，例如禁用安全瀏覽和其他安全功能。

然後，威脅者可以通過社交工程來同步他們的個人資料，從而升級攻擊——例如通過修改合法的 Google 支持頁面來同步帳户。一旦個人資料同步，攻擊者將完全訪問他們本地存儲的憑據和瀏覽歷史記錄。

第二階段涉及完全接管瀏覽器。惡意擴展程序會監視合法下載並進行攔截，將其替換為惡意可執行文件。其中包含註冊令牌和註冊表項，旨在將受害者的 Chrome 瀏覽器變成託管瀏覽器。

通過這種方式，攻擊者可以完全控制受害者的瀏覽器，而用户卻完全不知情。SquareX 警告稱，通過這種控制，他們可以竊取數據、將用户重定向到釣魚網站、禁用安全功能並安裝其他惡意擴展。

設備劫持變得簡單

第三階段可以實現設備劫持。

SquareX 繼續説道：“使用上述相同的下載文件，攻擊者可以額外插入惡意擴展程序向本機應用程序發送消息所需的註冊表項。這使得擴展程序無需進一步身份驗證即可直接與本地應用程序交互。”

“一旦建立連接，攻擊者就可以結合本地 shell 和其他可用的本機應用程序使用該擴展程序來秘密打開設備攝像頭，捕獲音頻，錄製屏幕並安裝惡意軟件 - 本質上提供對設備上所有應用程序和機密數據的完全訪問權限。”

該供應商表示，無法進行歸因，因為目前任何人都可以創建與新域名和瀏覽器擴展綁定的託管工作區帳户，而無需經過身份驗證。

SquareX 的創始人 Vivek Ramachandran 認為，這種攻擊技術暴露了企業安全的盲點，大多數組織無法瞭解員工下載的瀏覽器擴展程序。

他補充道：“傳統的安全工具根本無法發現或阻止這些複雜的基於瀏覽器的攻擊。”

“這一發現尤其令人擔憂的是，它將看似無辜的瀏覽器擴展程序武器化為完整的設備接管工具，同時還避開了 EDR 和 SASE/SSE 安全網關等傳統安全措施的監測。”