LayerX已经发现了三个协调的网络钓鱼活动涉及的40多个恶意浏览器扩展程序 – 许多仍然存在于Chrome网上商店中 – 对个人和组织都构成重大风险。

这项研究建立在DomainTools Intelligence(DTI)团队的早期发现的基础，揭示了这些活动的内部运作以及攻击者渗透用户浏览器以窃取数据,冒充身份和破坏公司网络的惊人易用性。

“LayerX已经确定了40多个恶意浏览器扩展,这些扩展程序是三种不同网络钓鱼活动的一部分。

与针对零日漏洞的复杂漏洞漏洞漏洞不同,此活动依赖于欺骗性品牌和可信平台来吸引用户自愿安装恶意工具。这些扩展伪装成:

Fortinet VPN(英语:FortiVPN)Calendly 调度助理加密公用事业,如DeBank和AML部门人工智能生产力工具和YouTube助手

“这些扩展是经过精心制作的,以模仿知名平台……有效地绕过了用户的怀疑,”LayerX报道。

安装后,每个扩展程序都会允许威胁行为者持续访问用户会话,允许他们窃取 Cookie、会话令牌、注入恶意脚本,甚至在企业环境中冒充用户。

LayerX研究人员发现,许多扩展着陆页是使用AI工具生成的,导致数十个条目中异常均匀的元数据和格式。

“恶意扩展页面表现出高度相似的结构……指出它们使用AI工具自动生成的可能性,”研究人员指出。

此外,攻击者注册了类似的域名(例如,calendly-daily [.]com,aiwriter[.]expert,crypto-whale[.]top),并使用匹配的电子邮件(如support@domain-name)看起来是合法的。

与从 Chrome Store 中删除的恶意应用程序不同,这些扩展程序可以无限期地在用户浏览器上保持活动状态,如果不是手动删除。

“从商店中删除不会从用户的浏览器中删除活动安装,”LayerX警告说。

随着企业员工越来越依赖基于浏览器的工具,这些扩展作为云应用程序、敏感文档和受会话保护数据的静音后门。

LayerX建议针对这种不断上升的浏览器威胁进行几种可操作的防御:

1. 执行扩展卫生:
   • 阻止来自未知或未经验证的出版商的扩展。
   • 限制最近发布的扩展,具有低评论或可疑权限。
   • 使用欺骗品牌名称或可疑域监控扩展。
2. 按扩展 ID 划分的块:
   • 使用 MDM 或浏览器策略执行来阻止已知的恶意扩展 ID(在 LayerX 的完整报告中提供)。
3. 持续浏览器安全监控: