最近调查的恶意攻击正在滥用本地加载的Chrome扩展程序，以窃取数据并与命令与控制（C＆C）服务器建立通信。

尽管在攻击中使用恶意Chrome扩展程序并不是什么新鲜事物，但是由于在浏览器中使用了“开发人员模式”以允许在本地加载恶意扩展程序，因此这种攻击在人群中脱颖而出。

该扩展名被放到受感染工作站上的文件夹中，而直接从浏览器中启用了“开发人员模式”（在“更多工具”->“扩展名”中可用）。任何用户都可以通过单击“加载解包”来利用此合法功能。

SANS Internet Storm Center（ISC）处理程序Bojan Zdrnja解释说，此攻击中使用的恶意加载项声称是Windows版Forcepoint Endpoint Chrome扩展程序，尽管除了被盗的名称与网络安全公司无关。和徽标。

Zdrnja说，这种攻击背后的威胁行动者专注于操纵受害者受害者可以访问的内部Web应用程序中的数据。

研究人员说：“尽管他们还想扩展访问权限，但实际上他们将工作站上的活动限制为与Web应用程序有关的活动，这说明了为什么他们只丢弃了恶意的Chrome扩展程序，而没有丢弃任何其他二进制文件的原因。”

对代码的分析表明，攻击者使用了合法的方法来建立侦听器并启用扩展之间的通信。

此外，发现该代码设置的特定密钥已同步到登录受害者的Google云中，从而使攻击者可以使用同一帐户登录自己的Chrome浏览器，然后滥用Google的基础架构与受害者的浏览器进行通信网络。

Zdrnja指出：“尽管在数据大小和请求数量上有一些限制，但这实际上非常适合C＆C命令（通常很小）或窃取小但敏感的数据（例如身份验证令牌），”

经过测试和验证后，研究人员确认可以通过这种方式进行C＆C通信和数据泄露。由于使用了合法的基础结构，因此很难检测出在此攻击中滥用的请求。

研究人员建议您在本地环境中控制Chrome扩展程序，尤其是因为Google确实允许管理员使用组策略来允许/批准特定扩展程序并阻止所有其他扩展程序。