根据安全公司 Socket 的说法,这些扩展以五个不同的发布者名义发布——Yana Project、GameGen、SideGames、Rodeo Games 和 InterAlt——在 Chrome 网上应用店累计约有 2 万次安装。
安全研究员 Kush Pandya 在分析中表示:“这 108 个扩展都会把被窃取的凭证、用户身份信息和浏览数据发送到同一个服务器(144.126.135[.]238)。”
其中 54 个插件通过 OAuth2 窃取用户的 Google 帐户身份,45 个扩展带有一个通用后门——浏览器一启动就会打开任意网址,其余扩展则执行多种不同的恶意行为:
◦ 每隔 15 秒窃取一次 Telegram 网页版会话数据
◦ 移除 YouTube 和 TikTok 的安全响应头(例如内容安全策略、X-Frame-Options 和 CORS),然后在页面中插入赌博浮层和广告
◦ 在用户访问的所有页面中注入内容脚本
◦ 将所有翻译请求通过威胁行为者的服务器进行代理转发
为了看起来更可信,这些被发现的扩展伪装成 Telegram 侧栏客户端、老虎机和基诺游戏、YouTube 与 TikTok 增强器、文本翻译工具以及各种页面实用程序。它们宣传的功能多种多样,目的是吸引更广的用户群,但实际上都使用同一个后端。
但用户并不知情,后台的恶意代码会窃取会话信息、注入任意脚本并打开攻击者指定的网页。
以下是部分已发现的扩展:
• Telegram Multi-account (ID: obifanppcpchlehkjipahhphbcbjekfa):扩展会窃取 Telegram Web 使用的 user_auth 令牌并将数据传送到远程服务器。它还能用攻击者提供的会话数据覆盖浏览器的 localStorage 并强制加载消息应用,从而把受害者当前的 Telegram 会话替换为攻击者指定的会话。
• Web Client for Telegram - Teleside (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno):删除 Telegram 的安全头信息并注入恶意脚本,从而窃取用户的 Telegram 会话信息。
• Formula Rush Racing Game (ID: akebbllmckjphjiojeioooidhnddnplj):会在受害者首次点击“登录”按钮时窃取其 Google 帐户信息,获取的内容包括电子邮件地址、姓名、头像链接和 Google 帐户 ID 等个人资料信息。
