行業新聞與部落格

安全研究人員警告說，一種新的攻擊可能會使惡意擴充程式以最少的使用者互動獲得對目標瀏覽器和裝置的完全控制。

SquareX 表示，到目前為止，瀏覽器供應商對擴充生態系統的限制被認為使得這種攻擊不可能發生。

然而，一種新的“瀏覽器同步劫持”技術似乎推翻了這一假設。

它包括三個階段。

首先，一名員工在不知情的情況下安裝了惡意擴充程式，然後該擴充程式秘密地將其身份驗證到由攻擊者的 Google Workspace 管理的 Chrome 配置檔案中。

SquareX 解釋說，一旦發生這種身份驗證，攻擊者就可以完全控制受害者瀏覽器中的新管理配置檔案，從而使他們能夠推送自動化策略，例如禁用安全瀏覽和其他安全功能。

然後，威脅者可以透過社交工程來同步他們的個人資料，從而升級攻擊——例如透過修改合法的 Google 支援頁面來同步帳戶。一旦個人資料同步，攻擊者將完全訪問他們本地儲存的憑據和瀏覽歷史記錄。

第二階段涉及完全接管瀏覽器。惡意擴充程式會監視合法下載並進行攔截，將其替換為惡意可執行檔案。其中包含註冊令牌和登錄檔項，旨在將受害者的 Chrome 瀏覽器變成託管瀏覽器。

透過這種方式，攻擊者可以完全控制受害者的瀏覽器，而使用者卻完全不知情。SquareX 警告稱，透過這種控制，他們可以竊取資料、將使用者重定向到釣魚網站、禁用安全功能並安裝其他惡意擴充。

裝置劫持變得簡單

第三階段可以實現裝置劫持。

SquareX 繼續說道：“使用上述相同的下載檔案，攻擊者可以額外插入惡意擴充程式向本機應用程式傳送訊息所需的登錄檔項。這使得擴充程式無需進一步身份驗證即可直接與本地應用程式互動。”

“一旦建立連線，攻擊者就可以結合本地 shell 和其他可用的本機應用程式使用該擴充程式來秘密開啟裝置攝像頭，捕獲音訊，錄製螢幕並安裝惡意軟體 - 本質上提供對裝置上所有應用程式和機密資料的完全訪問許可權。”

該供應商表示，無法進行歸因，因為目前任何人都可以建立與新網域名稱和瀏覽器擴充繫結的託管工作區帳戶，而無需經過身份驗證。

SquareX 的創始人 Vivek Ramachandran 認為，這種攻擊技術暴露了企業安全的盲點，大多陣列織無法瞭解員工下載的瀏覽器擴充程式。

他補充道：“傳統的安全工具根本無法發現或阻止這些複雜的基於瀏覽器的攻擊。”

“這一發現尤其令人擔憂的是，它將看似無辜的瀏覽器擴充程式武器化為完整的裝置接管工具，同時還避開了 EDR 和 SASE/SSE 安全閘道器等傳統安全措施的監測。”