[db:摘要]...
IT之家 1 月 31 日新闻,收集保险公司 SquareX 昨日(1 月 30 日)宣布博文,讲演经由过程 Chrome 扩大顺序发动的新型攻打,攻打进程固然庞杂,但却十分隐藏,所需的权限少少,受害者除了装置看似正当的 Chrome 扩大顺序外多少乎无需任何操纵。IT之家征引博文先容,攻打者起首创立一个歹意的 Google Workspace 域名,并在此中设置多个用户设置文件,并禁用多要素身份验证等保险功效,此 Workspace 域名将在后盾用于在受害者装备上创立托管设置文件。攻打者会将假装成有效东西且存在正当功效的阅读器扩大顺序,并宣布到 Chrome 网上利用店,而后应用社会工程学欺骗受害者装置该扩大顺序。该扩大顺序会在后盾静默地以暗藏的阅读器窗口将受害者登录到攻打者托管的 Google Workspace 设置文件之一。扩大顺序会翻开一个正当的 Google 支撑页面。因为它领有对网页的读写权限,它会在页面中注入内容,唆使用户启用 Chrome 同步功效。一旦同步,全部存储的数据(包含暗码跟阅读汗青记载)都将被攻打者拜访,攻打者当初能够在本人的装备上应用被盗用的设置文件。攻打者把持受害者的账号文件后,攻打者会动手接收阅读器。在 SquareX 的演示中,这是经由过程捏造的 Zoom 更新实现的。研讨职员夸大的场景是,受害者可能会收到一个 Zoom 约请,当他们点击并转到 Zoom 网页时,该扩大顺序会注入歹意内容,宣称 Zoom 客户端须要更新。但是,此下载是一个包括注册 tokens 的可履行文件,让攻打者能够完整把持受害者的阅读器。一旦注册实现,攻打者就取得了对受害者阅读器的完整把持权,容许他们静默拜访全部 Web 利用顺序、装置其余歹意扩大顺序、将用户重定向到垂纶网站、监控 / 修正文件下载等等。经由过程应用 Chrome 的 Native Messaging API,攻打者能够在歹意扩大顺序跟受害者的操纵体系之间树立直接通讯通道。这使他们可能阅读目次、修正文件、装置歹意软件、履行恣意下令、捕捉按键、提取敏感数据,乃至激活收集摄像头跟麦克风。