行业新闻与博客

安全研究人员警告说，一种新的攻击可能会使恶意扩展程序以最少的用户交互获得对目标浏览器和设备的完全控制。

SquareX 表示，到目前为止，浏览器供应商对扩展生态系统的限制被认为使得这种攻击不可能发生。

然而，一种新的“浏览器同步劫持”技术似乎推翻了这一假设。

它包括三个阶段。

首先，一名员工在不知情的情况下安装了恶意扩展程序，然后该扩展程序秘密地将其身份验证到由攻击者的 Google Workspace 管理的 Chrome 配置文件中。

SquareX 解释说，一旦发生这种身份验证，攻击者就可以完全控制受害者浏览器中的新管理配置文件，从而使他们能够推送自动化策略，例如禁用安全浏览和其他安全功能。

然后，威胁者可以通过社交工程来同步他们的个人资料，从而升级攻击——例如通过修改合法的 Google 支持页面来同步帐户。一旦个人资料同步，攻击者将完全访问他们本地存储的凭据和浏览历史记录。

第二阶段涉及完全接管浏览器。恶意扩展程序会监视合法下载并进行拦截，将其替换为恶意可执行文件。其中包含注册令牌和注册表项，旨在将受害者的 Chrome 浏览器变成托管浏览器。

通过这种方式，攻击者可以完全控制受害者的浏览器，而用户却完全不知情。SquareX 警告称，通过这种控制，他们可以窃取数据、将用户重定向到钓鱼网站、禁用安全功能并安装其他恶意扩展。

设备劫持变得简单

第三阶段可以实现设备劫持。

SquareX 继续说道：“使用上述相同的下载文件，攻击者可以额外插入恶意扩展程序向本机应用程序发送消息所需的注册表项。这使得扩展程序无需进一步身份验证即可直接与本地应用程序交互。”

“一旦建立连接，攻击者就可以结合本地 shell 和其他可用的本机应用程序使用该扩展程序来秘密打开设备摄像头，捕获音频，录制屏幕并安装恶意软件 - 本质上提供对设备上所有应用程序和机密数据的完全访问权限。”

该供应商表示，无法进行归因，因为目前任何人都可以创建与新域名和浏览器扩展绑定的托管工作区帐户，而无需经过身份验证。

SquareX 的创始人 Vivek Ramachandran 认为，这种攻击技术暴露了企业安全的盲点，大多数组织无法了解员工下载的浏览器扩展程序。

他补充道：“传统的安全工具根本无法发现或阻止这些复杂的基于浏览器的攻击。”

“这一发现尤其令人担忧的是，它将看似无辜的浏览器扩展程序武器化为完整的设备接管工具，同时还避开了 EDR 和 SASE/SSE 安全网关等传统安全措施的监测。”