關鍵詞

Chrome

LayerX已經發現了三個協調的網絡釣魚活動涉及的40多個惡意瀏覽器擴展程序 – 許多仍然存在于Chrome網上商店中 – 對個人和組織都構成重大風險。

這項研究建立在DomainTools Intelligence(DTI)團隊的早期發現的基礎，揭示了這些活動的內部運作以及攻擊者滲透用戶瀏覽器以竊取數據,冒充身份和破壞公司網絡的驚人易用性。

“LayerX已經確定了40多個惡意瀏覽器擴展,這些擴展程序是三種不同網絡釣魚活動的一部分。與針對零日漏洞的復雜漏洞漏洞漏洞不同,此活動依賴于欺騙性品牌和可信平臺來吸引用戶自愿安裝惡意工具。這些擴展偽裝成:

• Fortinet VPN(英語:FortiVPN)

• Calendly 調度助理

• 加密公用事業,如DeBank和AML部門

• 人工智能生產力工具和YouTube助手

“這些擴展是經過精心制作的,以模仿知名平臺……有效地繞過了用戶的懷疑,”LayerX報道。

安裝后,每個擴展程序都會允許威脅行為者持續訪問用戶會話,允許他們竊取 Cookie、會話令牌、注入惡意腳本,甚至在企業環境中冒充用戶。LayerX研究人員發現,許多擴展著陸頁是使用AI工具生成的,導致數十個條目中異常均勻的元數據和格式。

“惡意擴展頁面表現出高度相似的結構……指出它們使用AI工具自動生成的可能性,”研究人員指出。

此外,攻擊者注冊了類似的域名(例如,calendly-daily [.]com,aiwriter[.]expert,crypto-whale[.]top),并使用匹配的電子郵件(如support@domain-name)看起來是合法的。

與從 Chrome Store 中刪除的惡意應用程序不同,這些擴展程序可以無限期地在用戶瀏覽器上保持活動狀態,如果不是手動刪除。

“從商店中刪除不會從用戶的瀏覽器中刪除活動安裝,”LayerX警告說。

隨著企業員工越來越依賴基于瀏覽器的工具,這些擴展作為云應用程序、敏感文檔和受會話保護數據的靜音后門。

LayerX建議針對這種不斷上升的瀏覽器威脅進行幾種可操作的防御:

1. 執行擴展衛生:

• 阻止來自未知或未經驗證的出版商的擴展。

• 限制最近發布的擴展,具有低評論或可疑權限。

• 使用欺騙品牌名稱或可疑域監控擴展。

• 按擴展 ID 劃分的塊:

• 使用 MDM 或瀏覽器策略執行來阻止已知的惡意擴展 ID(在 LayerX 的完整報告中提供)。

• 持續瀏覽器安全監控:

• 實施持續評估擴展行為、風險和政策合規性的工具。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！