安全公司Socket的研究人员发现,Chrome官方应用商店中有超过100款恶意扩展程序正针对用户进行攻击,旨在窃取Google账号数据、植入后门并进行广告欺诈。
这些扩展程序通过五个不同的发布者身份进行运作,涵盖了Telegram侧边栏、YouTube增强工具及各类实用工具等多个类别。研究人员还发现,这些扩展程序共用一套指令与控制(C2)基础设施,用于协调整个攻击行动。
Socket的研究人员发现的证据表明,这是一场由俄罗斯发起的“恶意软件即服务”(MaaS)活动,并在代码中发现了与身份验证和会话窃取相关的特定注释。该活动依赖于托管在Contabo VPS上的中央后端,用于管理身份信息收集和变现过程。
数据采集与会话劫持
这些恶意软件通过几种不同的手段进行运作。其中,一组包含78款的扩展程序会直接向用户界面注入攻击者控制的HTML代码;另一组包含54款的扩展程序则利用“chrome.identity.getAuthToken”函数来采集用户名、电子邮件和个人资料图片。
此外,这些扩展程序还会窃取Google OAuth2 Bearer令牌。这种短效令牌允许攻击者在无需进一步交互的情况下,直接访问用户数据或冒充用户进行操作。
第三组包含45款的扩展程序则充当后门。这类软件会在浏览器启动时自动运行,从远程服务器获取指令,并在未经用户许可的情况下打开任意URL。
其中一款尤为严重的扩展程序专门针对Telegram Web用户,每隔15秒就会窃取一次会话。Socket报告称:“该扩展程序还会处理一个名为‘set_session_changed’的入站消息,执行反向操作:清除受害者的localStorage,用攻击者提供的会话数据进行覆盖,并强制刷新Telegram页面。”
这种功能使攻击者能够在用户不知情的情况下,将其浏览器切换到另一个Telegram账号。该活动中的其他扩展程序则通过剥离安全请求头,在YouTube和TikTok中注入广告,或通过恶意服务器代理翻译请求。
目前,Socket已将调查结果通知Google,但许多恶意扩展程序仍活跃在Chrome应用商店中。建议用户对照Socket公布的扩展程序ID进行检查,并立即卸载任何匹配的插件。
