2 月 17 日,一款名為「QuickLens─Search Screen with Google Lens」的 Chrome 擴充程式被發現已被惡意攻擊者入侵,並在其 5.8 版本中加入了竊取使用者憑證和加密貨幣的功能。這起事件引起關注,因為該擴充程式曾是 Google 推薦的工具,並在短時間內吸引了約 7,000 名使用者。
根據Bleeping Computer的報導,這款擴充程式的開發者在出售後,推出了包含惡意腳本的新版本,這些腳本使得攻擊者能夠進行ClickFix攻擊,並竊取使用者的敏感數據。這些攻擊不僅限於憑證竊取,還包括從Gmail收件箱中提取數據、Facebook商業管理器的數據提取,以及YouTube頻道資訊的收集。
安全公司Annex Security的創始人John Tuckner首先批露了這起事件,他指出這是擴充供應鏈問題的縮影。由於Chrome的自動更新功能,攻擊者能在不經使用者同意的情況下,將惡意更新推送給所有現有使用者,這使得約7,000名使用者面臨風險。
這次攻擊的技術手段包括生成持久的通用唯一辨識碼(UUID),透過Cloudflare識別受害者的位置,並每五分鐘向一個命令與控制伺服器發送請求以獲取指令。這些惡意功能的最終目標是竊取加密貨幣的憑證和錢包地址。
Google已經從Chrome網路商店移除了這款受損的擴充程式,並且Chrome也自動禁用了該擴充程式,進而保護了現有使用者。然而,這起事件再次提醒使用者,僅依賴曾經被認可的擴充程式並不安全,建議使用者在更新應用程式時,僅從官方網站進行下載,並定期檢查裝置是否存在惡意軟體。
- Google Lens Chrome Browser Tool Compromised To Steal Credentials
- QuickLens Chrome extension steals crypto, shows ClickFix attack
(首圖為示意圖,來源:Unsplash)
科技新報粉絲團
加入好友
訂閱免費電子報
