過往駭客打造惡意瀏覽器套件從事攻擊行動的情況,不少是架設釣魚網站來引誘使用者安裝,但如今有人成功將這類惡意軟體放上瀏覽器開發商的延伸套件市集,使得這種安裝來源的信任機制受到挑戰。
例如,最近資安業者Koi Security揭露同時針對Chrome與Edge用戶而來的攻擊行動RedDirection,就是這樣的例子。因為瀏覽器的延伸套件市集Chrome Web Store、Microsoft Edge Addons,竟然存在18個惡意套件,總共感染超過230萬個用戶。這些套件偽裝成常見的生產力及娛樂工具,涵蓋Emoji符號鍵盤、天氣預報、影片速度控制器、音量放大工具、供Discord或抖音(TikTok)使用的VPN代理伺服器、YouTube解鎖工具等,所有的套件都具備開發者宣稱的功能,但同時也監控瀏覽器活動並挾持部分功能。
值得留意的是,其中部分延伸套件甚至取得市集通過驗證的狀態,甚至被列為精選套件。根據Koi Security公司的調查,所有的套件都是使用獨立的C2子網域,看起來好像由不同的人馬經營,但實際上都是源自相同的攻擊基礎設施。
再者,這些延伸套件並非一開始上架就帶有惡意內容,而是在特定版本更新引入有問題的功能,在導入惡意功能之前,它們的程式碼基礎(Codebase)相當乾淨,有的已經上架多年,後續才被用於攻擊。
究竟這些套件有那些惡意行為?套件會挾持每個分頁的更新內容,截取使用者正在瀏覽的網頁URL,並傳送到遠端的伺服器,再從C2取得重新導向的網址。
Koi Security也提及可能會出現的攻擊情境,其中一種是使用者收到Zoom會議邀請,並點選連結,此時惡意套件就可能從中攔截,在用戶參與會議之前重新導向特定網站,要求下載重要的Zoom更新,才能正常參與會議。但若是使用者照做,就會在電腦植入其他惡意軟體,使得攻擊者能進一步控制受害電腦。
但這類攻擊行動,並非只針對Chromium為基礎打造的瀏覽器而來。一週前,Koi Security發現鎖定Firefox用戶的攻擊行動FoxyWallet,駭客於Firefox Browser Add-ons市集上架45款有問題的套件(附加元件),它們假冒成常見的加密貨幣錢包工具,一旦使用者不慎安裝,惡意套件就會無聲無息地挖掘與錢包有關的機敏資訊,導致用戶蒙受損失。
熱門新聞
2025-12-02
2025-12-01
2025-11-30
2025-12-01
2025-12-01
