网站建设者 Wix.com 于 2016 年 4 月遭受了大规模网络攻击,当时流氓 Chrome 扩展僵尸网络创建了 Wix 网站来传播自身并感染新用户。 此次攻击当时并未得到报道,但上周 Wix 安全团队负责人托马尔·科恩 (Tomar Cohen) 在 BlackHat 和 DEFCON 顶级黑客会议上透露了更多细节。
首先点击 Wix,然后点击 GoogleDrive
Cohen 表示,流氓 Chrome 扩展通过下载恶意 JavaScript 代码来创建新的 Wix 帐户、发布免费网站并通过受感染受害者的 Facebook Messenger 服务发送指向新 Wix 网站的链接网站扩展程序,从而感染了数万名用户。 收到私人消息的受害者被引诱到恶意 Wix 页面,并进一步邀请他们安装恶意 Chrome 扩展程序的副本。
该僵尸网络处于早期阶段,其开发人员只对感染数量感兴趣,之后垃圾邮件将用户引诱到更危险的网站。 科恩和他的团队测量了僵尸网络的行为,并阻止其进一步利用基础设施进行其他尝试。
两个月后,僵尸网络开发人员再次发起攻击,但这次他们使用 Google Drive 来托管恶意网站,而不是 Wix。 第二次攻击事件发生在2016年6月。卡巴斯基实验室的研究人员发布了一份报告,描述了这次攻击。
这种攻击未来可能会加剧
Cohen 在 BlackHat 和 DEFCON 上表示,此类攻击未来将会加剧,因为流氓 Chrome 扩展提供了一种在任何网站上执行代码的简单方法。 此外,攻击者不一定需要创建自己的扩展程序并将其上传到 Chrome Web Store,他们可以利用现有 Chrome 扩展程序中的安全漏洞。
Cohen 提到了一个 XSS 跨站点脚本漏洞网站扩展程序,该漏洞影响 Adobe 在今年冬天的 Acrobat 更新期间向用户推出的 Chrome 扩展程序。 此外,AVGWebTuneUp 中还存在另一个 XSS 漏洞,AVGWebTuneUp 是一个在用户安装防病毒软件时被强制安装的 Chrome 扩展程序。 该 XSS 漏洞将使攻击者能够完全且永久地控制受害者的浏览器,从而将扩展程序变成僵尸。
Cohen 的演示还包括有关如何利用三个良性 Chrome 扩展并使它们执行恶意活动的 PoC 代码。
发表评论