上周四,谷歌宣布从Chrome web商店中移除一款含有恶意软件的扩展——The Great Suspender,初步估计该恶意扩展影响数百万用户。
使用 Chrome 浏览器时开上10几个标签是常有的事,如果再开上更多标签而电脑硬件又过时的话,这时候就会感觉到卡了。The Great Suspender 这个 Chrome 扩展可以让你把不需要的标签进入睡眠模式以节省内存,保证流畅的浏览体验。
谷歌发布的公告称,该扩展中含有恶意软件,来自远程服务器的攻击者可以利用该扩展中添加的功能来执行任意代码,其中包括追踪在线用户和进行广告欺诈。
安全研究人员Calum McConnell在GitHub中发帖称,该扩展的原维护者已经在2020年6月将该扩展出售给了未知的第三方,购买该扩展的用户随后在Chrome Web Store发布的2个版本v7.1.8 和v7.1.9 是恶意的,会利用该扩展来进行广告欺诈、用户追踪等行为。
该扩展在被下架和禁用前有超过200万次的安装量。该扩展的恶意行为是从2020年11月开始的,微软去年11月就在Edge 浏览器中拦截该扩展了。
安全研究人员Bojan Zdrnja公开了一种新的方法,可以利用 Chrome 浏览器的同步功能来绕过防火墙,与攻击者控制的服务器建立连接用于数据窃取。由于恶意扩展的请求数据大小和请求数量都是有限制的,因此比较适合于C2通信、窃取少量的敏感数据,比如认证 token。
由于攻击活动需要对目标系统有物理接触,因此谷歌除了下架处理外,不太可能会采用其他措施进行修复。
更多细节请参见:https://github.com/greatsuspender/thegreatsuspender/issues/1304
https://isc.sans.edu/diary/27066
本文翻译自:https://thehackernews.com/2021/02/warning-hugely-popular-great-suspender.html如若转载,请注明原文地址: