在去年聖誕後發生專門針對流行Chrome擴充插件開發商的多階段攻擊,其中最知名的是Cyberhaven,旗下超過35款廣泛普及的擴充插件,合共超過250次安裝,攻擊者的目標是盜竊安裝了木馬化更新擴件的用戶資料。
攻擊開發商:濫用OAuth
為了把木馬功能放入受歡迎的Chrome擴充插件,網絡犯罪份子籌備了一個原創的釣魚計劃,他們對開發商發送電郵,冒充標準的Google警告,聲稱他們的擴充插件違反了Chrome Web Store的條款,而且需要新的描述,文字和訊息的設計都模仿典型的Google電郵,令受害者更容易中計,而且專為攻擊準備了特定的網域,包含擴充插件真實域名的名字。點擊電郵提供的連結,用戶會被帶到合法的Google登入網頁,隨後開發者看到另一個模準的Google畫面,經由OAuth進行登入到一個名為「Privacy Policy Extension」的應用程式,作為身份驗證過程的一部份向其授予某些模限,這步驟在合法的Google網頁上發生,除了「Privacy Policy Extension」權限要求會把另一款擴充插件發佈到Chrome Web Store,一旦成功,「Privacy Policy Extension」就會以受害者的身份在Chrome Web Store發佈更新。
在這種情況下,攻擊者無需盜竊開發者的密碼或其他憑證,又或者繞過多重認證(MFA),而是簡單地濫用Google的系統以取得權限,詐騙開發者容權權更新他們的擴充插件,根據攻擊者登記得網域清單估計,攻擊者嘗試攻擊超過35款擴充插件,一旦成功,攻擊者便會發佈更新版本,增加兩個檔案去盜竊Facebook cookies和其他資料(worker.js和content.js)。
攻擊使用者
Chrome擴充插件會自動接收更新,所以用戶在12月25至31日期間開啟電腦和Chrome,就有機會接收到被感染的更新。事件中惡意腳本在受害者的瀏覽器中運行,發送可以入侵Facebook商用帳號的資料到攻擊者的伺服器,還有登入目標的廣告帳號所需的資料。在facebook.com上即使滑鼠點擊的數據也會被攔截,用來協助攻擊者繞過CAPTCHA和雙重認證(2FA),如果受害者負責為公司或私人業務管理廣告,犯罪份子便可以花費受害者的廣告預算去賣自己的廣告,通常用來推廣詐騙和惡意網站,所以受害的公司除了直接的經濟損失,還可能面臨官司及聲譽的風險。
安裝了被感染擴充插件更新怎麼辦?
要阻止資料從自己的瀏覽器被盜竊,首先是解除安裝遭入侵的擴充插件或更新版本,可惜單純解除安裝並不足夠,還需要更改密碼和儲存在瀏覽器或事故期間的API金鑰,然後檢查log搜尋與攻擊者伺服器聯絡的跡象,不幸有所發現,尋找未經授權存取的痕跡。
之後,如果透過受感染瀏覽器存取Meta或其他廣告帳號,手動檢查所有正在運作的廣告,停止所有未經授權的廣告,最後在所有裝置上登出受感染的Facebook帳號,清除瀏覽器上的快取記憶體和cookies,再次登入Facebook並立即更改帳號密碼。
汲取教訓
這次事件是典型的供應鏈攻擊,由於Chome的更新自動安裝而不通知用戶,令情況進一步惡化,儘管更新通常都是優點,但自動更新機制為惡意擴充插件提供快速傳播的機會,為降低風險,我們建議:
- 使用群組政策或Google Admin平台去限制安裝瀏覽器擴充插件
- 因應需要和資安,創建開發者使用的可信任的擴充插件清單。
- 透過version pinning關閉自動更新擴充插件,有需要的話在特定地進監察執行更新,並中央更新被管理員認可的擴充插件。
- 在公司所有裝置安裝EDR方案,保護惡意程式的威脅和監察可疑活動。
資料來源:Kaspersky Blog
