108款扩展程序被发现窃取谷歌身份验证信息和Telegram会话等
安全研究团队 Socket 在 Chrome Web Store 发现 108 款恶意扩展程序,用来劫持用户的谷歌账户信息、Telegram 会话、插入广告等等。这些扩展程序看起来毫无关联但都使用相同的 C2 服务器,目前 Socket 已经向谷歌通报但谷歌还未删除这些扩展程序。
安全研究团队 Socket 日前发布分析报告披露 Chrome Web Store 中存在的 108 款恶意扩展程序,截至本文发布时,这些恶意扩展程序仍然没有谷歌下架,建议用户自查确保安全。
这些扩展程序看起来毫无关联 (不同开发者名称、不同注册地址、不同的隐私政策网站),不过实际上都连接到相同的 C2 服务器用于回传信息,因此这显然属于同一个攻击团队。
恶意扩展分析概览:
这些扩展程序均使用相同的子域名例如 tg.cloudapi.stream / mines.cloudapi.stream / api.cloudapi.stream 进行数据外传和心跳通信,形成高度集中的 C2 架构。
谷歌尚未删除这些扩展程序:
由于牵涉的扩展程序非常多,指望用户自查并删除是不现实的,Socket 已经将恶意扩展信息通报给谷歌,不过谷歌目前还未删除这些恶意扩展程序。
如果谷歌执行下架操作,则也会通过云端推送信标到用户端,这样用户的 Chrome 浏览器就会自动禁用这些扩展程序,以此可以安全快速的降低恶意扩展造成的影响。
如果用户需要自查请访问 Socket 页面对照 108 个恶意扩展列表:https://socket.dev/blog/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2
这些扩展程序看起来毫无关联 (不同开发者名称、不同注册地址、不同的隐私政策网站),不过实际上都连接到相同的 C2 服务器用于回传信息,因此这显然属于同一个攻击团队。
恶意扩展分析概览:
- 54 个扩展程序窃取谷歌账号信息:窃取的信息包括用户邮箱、姓名、头像等,然后回传到服务器。
- 1 个扩展程序用于劫持 Telegram 会话:这个扩展程序提供所谓的多账号管理功能,但实际上会注入或劫持会话。
- 45 个扩展程序包含通用后门:可以通过服务器下发命令实现远程控制等目的。
- 部分扩展程序用于注入广告:在用户访问页面时注入广告或任意 JavaScript 脚本。
这些扩展程序均使用相同的子域名例如 tg.cloudapi.stream / mines.cloudapi.stream / api.cloudapi.stream 进行数据外传和心跳通信,形成高度集中的 C2 架构。
谷歌尚未删除这些扩展程序:
由于牵涉的扩展程序非常多,指望用户自查并删除是不现实的,Socket 已经将恶意扩展信息通报给谷歌,不过谷歌目前还未删除这些恶意扩展程序。
如果谷歌执行下架操作,则也会通过云端推送信标到用户端,这样用户的 Chrome 浏览器就会自动禁用这些扩展程序,以此可以安全快速的降低恶意扩展造成的影响。
如果用户需要自查请访问 Socket 页面对照 108 个恶意扩展列表:https://socket.dev/blog/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2
关于作者
评论1次
这波操作挺有意思的,108个马甲同时上线,开发者信息全不一样但共用C2,一看就是有组织的活儿。这种打法挺聪明的——分摊风险,就算举报掉几个其他还在跑,而且用户根本不知道哪个是坑。 说实话Chrome扩展这玩意儿对攻击方来说确实是个好入口。你想想,扩展装上之后能读写所有页面内容、拿到cookie和token、还能注入JS,权限比普通网页大多了。拿Telegram劫持那个来说,搞个"多账号管理"的噱头,用户自己把权限送上门,这比硬钓鱼省事多了。 最骚的是谷歌到现在都没下架,这就给了窗口期。攻击方完全可以利用这个时间差继续收割,毕竟大部分用户根本不会去查自己装了啥扩展。 对于做红队的人来说,这套路值得参考: - 扩展功能的包装很重要,"多账号管理"、"网页增强"这种需求很合理,不容易被怀疑 - C2域名选云服务商域名比自建服务器稳,不容易被黑名单 - 权限申请可以逐步来,先要基础权限,后面再静默更新加上敏感权限,用户感知不强 不过这波用明文C2域名和固定子域名确实有点糙,被Socket这种自动化扫描逮到也不意外。实际作案的话域名肯定得轮换,IP也得套CDN。