Koi Security 發現了由中國駭客組織 DarkSpectre 發起的三個惡意瀏覽器擴充活動。這些活動分別名為 ShadyPanda、GhostPoster 和 The Zoom Stealer,在七年多的時間裡,累積影響了超過 880 萬用戶。
ShadyPanda 攻擊了 Google Chrome、Microsoft Edge 和 Mozilla Firefox 的用戶,透過 100 多個擴充功能影響了 560 萬人,其中 9 個處於活躍狀態,85 個處於休眠狀態。
GhostPoster 主要針對 Firefox 用戶,包括 Opera 的 Google Translate 擴充程序,該擴充功能擁有約 100 萬次安裝量。
Zoom Stealer 透過三個瀏覽器上的 18 個擴充功能影響了 220 萬人,從 28 個以上的視訊會議平台竊取了企業會議資訊。
C2伺服器託管在阿里雲上。
從: 
DarkSpectre瀏覽器擴充功能活動曝光,影響全球880萬用戶
【社論】
這一系列 DarkSpectre 攻擊活動代表了利用瀏覽器擴充功能的網路攻擊進入了一個新階段,尤其值得注意的是所使用的技術的複雜性。
其中最陰險的是“邏輯炸彈”,這是一種定時機制,擴展程序會在審核期間正常運行三天,完全無害。這使得它能夠通過應用程式商店的審核,然後發動惡意攻擊。此外,還有 85 個「休眠」擴充程序,其中一些在突然被惡意利用之前已經合法運行了五年多。
Zoom竊取器針對企業會議訊息,其竊取方式遠超傳統的消費者詐欺。會議URL、嵌入式密碼、與會者名單、演講者簡介,甚至公司商標都會透過WebSocket連線即時洩漏。這些資訊可能被出售給競爭對手,或用於發動大規模身分冒用攻擊。
正如Koi Security的研究人員所指出的,用戶之所以對這款擴充功能評價很高,是因為他們獲得了宣傳的功能,而企業機密卻在後台悄悄收集。這種「功能性與隱蔽監控」的雙重性質正是此類攻擊如此危險的原因。
目前的瀏覽器應用程式商店審核模型依賴於提交時的靜態檢查,缺乏安裝後的持續監控,這暴露出一個漏洞,允許受信任的擴充功能自動更新,從而立即將數百萬的安裝基數變成一個監控平台。
多項證據指向一個位於中國的威脅行為者,包括託管在阿里雲上的C2伺服器、中文程式碼痕跡以及針對中國電商平台的詐欺手段。長達七年多的行動表明其採取了協調一致的長期策略。
[術語]
瀏覽器擴充功能
一種可以安裝在網頁瀏覽器上的小型軟體程序,用於擴展網站的顯示和功能。它適用於Chrome、Edge和Firefox等主流瀏覽器,並廣泛用於提升用戶體驗,但如果使用不當,則會帶來嚴重的安全風險。
邏輯炸彈<br>一種惡意軟體,它會在特定條件或時間過後才會啟動,並在條件滿足後開始執行惡意操作。在本案例中,攻擊者利用三天的延遲,使應用程式在應用程式商店審核期間看起來正常,然後在審核通過後發動攻擊。
休眠者:這款擴充功能目前僅提供無害功能,但隨著用戶群的擴大,未來更新可能會添加惡意功能。在某些情況下,它可能會運行五年以上以博取信任。
WebSocket 連線<br>一種通訊協議,支援伺服器和客戶端之間的雙向即時通訊。在本案例中,它被濫用,成為將公司會議資訊即時發送到攻擊者伺服器的手段。
C2伺服器(命令與控制伺服器)
攻擊者利用該伺服器遠端控制感染惡意軟體的裝置。它充當中繼點,用於收集來自受感染設備的資訊並發送命令。
[參考連結]
Koi Security 官方網站(外部連結)
一家專注於瀏覽器擴充功能安全的網路安全公司發布了一份關於 DarkSpectre 的詳細調查報告。
阿里雲(外部)
這是由中國阿里巴巴集團提供的雲端服務。經查明,該服務是攻擊者C2伺服器的託管目的地。
[參考文章]
Zoom Stealer瀏覽器擴充功能收集企業會議資訊(外部)
該報告詳細介紹了 18 個擴充功能如何從 28 個以上的視訊會議平台收集企業資訊。
「DarkSpectre」擴充功能從220萬個瀏覽器收集會議資料(外部連結)
Zoom竊取者活動威脅要從220萬個瀏覽器中竊取會議資料。
ShadyPanda惡意軟體發動大規模攻擊,影響430萬Chrome和Edge用戶(外部連結)
揭露 ShadyPanda 活動的大規模資料竊取和聯盟行銷詐欺手段。
[編者註]
您能立即告訴我們您目前瀏覽器上安裝了多少個擴充功能嗎?我們意識到,您當初只是隨意安裝的實用工具,五年後可能會發生翻天覆地的變化。
尤其是在遠距辦公成為常態的今天,許多人每天都會使用 Zoom 和 Google Meet 等會議軟體。會議連結和密碼可能在您不知情的情況下洩露給了第三方。不妨檢查一下您已安裝的擴充功能。只保留真正需要的擴充功能並定期檢查,在未來可能至關重要。
