您在這裡
【技術】惡意的Chrome擴充元件會竊取張貼到任何網站的資料
惡意的瀏覽器擴充元件持續地開花結果,駭客一直在利用其散佈銀行惡意軟體和廣告軟體,並劫持熱門的附加元件來散佈其他受感染的程式碼。
最新的濫用包含了由釣魚電子郵件所散佈的Google Chrome擴充元件,其會竊取受害者張貼到網路上的任何資料。這與上一次監控瀏覽器中特定網址的活動並擷取憑證的攻擊有所違背。
根據Morphus Labs的首席研究員Renato Marinho、和一位SANS Internet Storm Center (ISC) 的處理員表示,此惡意活動可能僅限於巴西和其他葡萄牙語系的國家。Marinho並向Threatpost表示,釣魚訊息是以葡萄牙語撰寫,而且受影響電腦上的某些特徵及目錄名稱使他認為用於這些攻擊的惡意軟體發源自巴西。
Marinho說道,「根據我在垃圾郵件陷阱裡收到的訊息,此惡意活動還在進行中,而且可能會有許多受害者」。
Marinho還提到,電子郵件中包含了誘餌,並暗示這是透過WhatsApp傳送的週末活動照片 (“Segue as (Fotos Final de Semana ) Enviadas via WhatsApp (30244)”)。在Marinho寫給SANS ISC網站的報告中指出,一旦受害者點選連結,名為whatsapp.exe的惡意軟體植入程式就會執行,並出現一個偽造的Adobe Reader安裝程式,它會在受害者的電腦上下載並安裝一個 .cab檔案。該 .cab檔案是一個9.5MB的壓縮檔,一旦解壓縮之後就會獲得一對200MB以上的檔案。他也表示,大部分的程式碼都是沒有作用的,這是為了規避會略過大型檔案的防惡意軟體掃描器。
其中一個檔案試圖要停用Windows防火牆,且在由JavaScript所編寫的惡意瀏覽器擴充元件進行安裝之前,會先中止所有的Chrome處理程序。
Marinho提到,在透過jQuery和Ajax連線將資料送到命令和控制伺服器之前,該擴充元件會擷取受害者張貼到任何網站的全部資料。
Marinho補充道,現有的瀏覽器安全性策略,像是SSL或TLS,並無法保護受害者,因為被竊取的資料在透過HTTPS連線被送出去之前,是以明文被擷取的。Marinho提到,他預期網路罪犯會繼續利用惡意擴充元件來存取受害者的個人敏感資料。
他說,「對於攻擊者而言,透過可疑的SSL憑證或佈署本機代理伺服器來攔截網路連線,將受害者吸引到假冒的網站,這並不是必須的。與之相反的是,使用者存取原始且合法的網站,所有的互動正常運作,但資料就是被擷取並洩漏了」。「在我看來,網際網路瀏覽器應該要更好地控制擴充元件和外掛程式的安裝流程,就像是Android和IOS的行動生態系統一樣。預設上,只有在官方商店中可供使用的擴充元件應當才能被允許安裝」。
【資訊提供單位】