SquareX公司报告了一种新型Chrome扩展程序攻击，该攻击隐蔽且危害巨大。攻击者首先创建恶意Google Workspace域名，诱骗用户安装伪装成有用工具的Chrome扩展程序。该扩展程序在后台将受害者登录到攻击者控制的Google Workspace配置文件，并通过注入内容诱导用户启用Chrome同步，从而窃取密码和浏览历史。攻击者随后通过伪造的Zoom更新来接管浏览器，并利用Chrome的Native Messaging API与受害者操作系统建立通信，进行文件操作、恶意软件安装等。该攻击过程复杂且隐蔽，受害者几乎无需任何操作，只需安装看似合法的扩展程序即可中招。

⚠️攻击者创建恶意的Google Workspace域名，禁用多因素身份验证等安全功能，为后续攻击奠定基础。

🧩攻击者将恶意代码伪装成合法Chrome扩展程序，诱骗用户安装，并在后台静默地将受害者登录到攻击者控制的账户。

🔒通过诱导用户启用Chrome同步，攻击者窃取包括密码和浏览历史在内的所有存储数据，并利用被盗用的配置文件接管浏览器。

🔄攻击者通过伪造的Zoom更新，诱导用户下载包含注册token的可执行文件，从而完全控制受害者的浏览器。

📡利用Chrome的Native Messaging API，攻击者在恶意扩展程序和受害者操作系统之间建立直接通信通道，进行文件操作、恶意软件安装等恶意行为。

IT之家 1 月 31 日消息，网络安全公司 SquareX 昨日（1 月 30 日）发布博文，报告通过 Chrome 扩展程序发起的新型攻击，攻击过程虽然复杂，但却非常隐蔽，所需的权限极少，受害者除了安装看似合法的 Chrome 扩展程序外几乎无需任何操作。

IT之家援引博文介绍，攻击者首先创建一个恶意的 Google Workspace 域名，并在其中设置多个用户配置文件，并禁用多因素身份验证等安全功能，此 Workspace 域名将在后台用于在受害者设备上创建托管配置文件。

攻击者会将伪装成有用工具且具有合法功能的浏览器扩展程序，并发布到 Chrome 网上应用店，然后利用社会工程学诱骗受害者安装该扩展程序。

该扩展程序会在后台静默地以隐藏的浏览器窗口将受害者登录到攻击者托管的 Google Workspace 配置文件之一。

扩展程序会打开一个合法的 Google 支持页面。由于它拥有对网页的读写权限，它会在页面中注入内容，指示用户启用 Chrome 同步功能。

一旦同步，所有存储的数据（包括密码和浏览历史记录）都将被攻击者访问，攻击者现在可以在自己的设备上使用被盗用的配置文件。

攻击者控制受害者的账号文件后，攻击者会着手接管浏览器。在 SquareX 的演示中，这是通过伪造的 Zoom 更新完成的。

研究人员强调的场景是，受害者可能会收到一个 Zoom 邀请，当他们点击并转到 Zoom 网页时，该扩展程序会注入恶意内容，声称 Zoom 客户端需要更新。然而，此下载是一个包含注册 tokens 的可执行文件，让攻击者可以完全控制受害者的浏览器。

一旦注册完成，攻击者就获得了对受害者浏览器的完全控制权，允许他们静默访问所有 Web 应用程序、安装其他恶意扩展程序、将用户重定向到钓鱼网站、监控 / 修改文件下载等等。

通过利用 Chrome 的 Native Messaging API，攻击者可以在恶意扩展程序和受害者的操作系统之间建立直接通信通道。这使他们能够浏览目录、修改文件、安装恶意软件、执行任意命令、捕获按键、提取敏感数据，甚至激活网络摄像头和麦克风。