資安業者Socket週一(4/13)指出,他們在Chrome Web Store上發現了108款共用同一C2基礎設施的惡意擴充程式,這些偽裝成通訊、播放器、遊戲或工具的擴充程式可竊取使用者的Google帳戶、Telegram帳號或瀏覽行為,並將它們傳送到同一個網域cloudapi[.]stream。
此次揭露的擴充程式涵蓋Telegram擴充工具、影音播放器、翻譯服務及各類小遊戲等常見應用,安裝後仍可正常運作,降低使用者警覺。但實際上會在背景透過OAuth機制擷取Google帳戶的電子郵件、名稱與唯一識別碼(sub),並持續蒐集瀏覽行為資料。
還有部分擴充程式更具備帳號接管能力,例如可每15秒竊取Telegram Web登入Session,讓攻擊者在不需密碼或雙重驗證的情況下直接存取帳號內容。此外,部分外掛內建後門機制,會在瀏覽器啟動時連線至遠端伺服器並接收指令,甚至可開啟任意網頁或動態注入內容。
根據統計,有54個擴充程式可透過OAuth2竊取Google帳戶身分;有45個含有通用後門,以於瀏覽器啟動時開啟任意網址;另有1個擴充程式會持續竊取Telegram登入Session。不過,這108個擴充程式總計的下載量大約只有2萬。
研究發現,這些擴充程式雖然是由5個不同的開發者所發行,但它們的C2伺服器都位於同一個IP位址,也都使用同一網域,而且不管是程式碼結構、後門機制與回傳機制都高度一致,可能為同一操作者所控制。
