克羅地亞安全研究員 Bojan Zdrnja 周四表示,最近他發現了一款新的 Chrome 惡意擴展程序,會濫用 Chrome 同步功能,將其作為與遠程命令和控制(C&C)服務器進行通信的方式,然后從受感染的瀏覽器中竊取數據。
Zdrnja 稱,該擴展程序是來自安全公司 Forcepoint 的一個安全插件,其中包含惡意代碼,這些惡意代碼濫用了 Chrome 同步功能,從而使攻擊者可以控制受感染的瀏覽器。
Chrome 同步功能是 Chrome 瀏覽器的一項實用功能,可將用戶的 Chrome 書簽,瀏覽歷史記錄,密碼以及擴展程序設置等副本存儲在 Google 的云服務器上。
Zdrnja表示,在擴展程序中發現的惡意代碼表明,攻擊者可以使用惡意加載項創建一個基于文本的字段來存儲令牌密鑰,然后將其作為同步功能的一部分同步到Google云服務器。通過這種方式,該擴展程序可以被當成從瀏覽器端攻擊企業內部網絡的滲透通道。
