最近、一部の脅威アクターは、すでに弱体化しているブラウザにコマンドを送信し、感染したシステムからデータを盗み、そこから情報を盗むためにGoogle Chrome同期機能を悪用し、ひどく巧妙に細工されたChromeブラウザ拡張機能を通じてすべてのファイアウォールと自然防御を突破できることを発見したと最近報告されています。
セキュリティコンサルタントは、悪意のあるChrome拡張機能がChrome同期機能を悪用して、弱体化したブラウザからデータを引き継ぐためにコマンドとコントロール(C&C)サーバーと通信しようとしていることを発見しました。彼は、彼が調査したこの事件で、攻撃者はすでにユーザーのコンピュータを制御していたので、そのすべてが従業員のポータル内にあったので、そのような情報を簡単に取ることができなかったので、攻撃者が被害者のコンピュータにChrome拡張子をダウンロードし、ブラウザの開発者モードを有効にしてロードしたと報告しました。攻撃者は、Windows用の強制ポイントの終点 Chrome 拡張機能として拡張機能をカバーし、Chrome同期機能を悪用したコードが含まれており、攻撃者は自動的にブラウザとユーザーのクラウドストレージを制御することができました。
同期されたデータを完全に制御するためには、サードパーティのクロムベースのブラウザはプライベートな Google Chrome Sync API を使用できないため、攻撃者は Chrome ブラウザが動作している別のデバイス上の同じ Google アカウントにログインするだけで済みます。
Googleはこのような12のクロム拡張子を取り除いていますが、実行方法のためにこれは少し異なっていました。Zdrnjaは、この攻撃者の主な目的は、被害者だけがアクセスできる内部Webアプリケーションでデータを取得できる方法で拡張を使用することだったと言います。
Zdrnjaは先週これらの活動を報告し、攻撃はまた、彼らがこの方法で計画を実行した理由であるかもしれないWebアプリケーションに被害者のワークステーション上の限られた活動を制御したいと言いました。
