谷歌Chrome扩展程序因窃取银行凭证而被删除

作者:敬诳

在发现恶意行为者正在使用扩展程序窃取银行凭据和财务信息后,Google从Chrome网上应用店删除了其Google Chrome浏览器的扩展程序。这个名为Interface Online的扩展程序由一名名为Internet Security Online的开发人员创建,本周早些时候通过Chrome网上应用店提供。它是由巴西的一群犯罪分子创建的,他们利用它来瞄准金融业的特定人群。新闻周刊将于9月26日至27日在旧金山举办结构安全活动。图片来源:新闻周刊媒体集团Morphus实验室和SANS互联网风暴中心的首席研究官Renato Marinho发现了这一骗局,他在一篇博客文章中披露了恶意扩展,并向谷歌报告删除了该插件。虽然任何人都可以从Chrome网上应用店下载扩展程序,但巴西的攻击者仍有特定目标。该小组研究了潜在目标,并在社交媒体上收集了关于他们及其在公司中的角色的情报。黑客专门针对那些他们认为可以处理金融交易的人。一旦该小组确定了他们的目标,他们就开始联系潜在的受害者。袭击者称这些目标为银行员工。在电话中,他们会鼓励目标下载扩展,他们声称该扩展是银行安全模块的一部分,或者面临失去对其帐户的访问权限。根据卡巴斯基实验室研究员Fabio Assolini的说法,攻击者会在电话中表现出恐慌,迫使受害者下载扩展程序。他们会提供一个用户应该去下载安全模块的网址。当他们点击网站上的“安装”按钮时,他们将开始下载恶意扩展。受害者完成安装过程后,电话继续通话。一旦此人安装了扩展程序,攻击者就可以通过输入用于访问其公司银行帐户的凭据来对其进行测试。当他们输入凭据时,扩展程序会收集信息并将其发送给攻击者。扩展程序Internet Security Online并没有特别隐藏这些功能。 Chrome网上应用店中的扩展程序说明它能够读取和更改用户访问过的网站上的数据,并可以监控用户的浏览活动。尽管如此,至少有30人在删除之前下载并安装了扩展程序。虽然攻击并不普遍,但这种努力背后的威胁行为者已经证明相对熟练和持久。该集团还与针对巴西银行和金融机构的其他针对性攻击有关,其中包括一个针对支付系统Boletos的攻击。过去,谷歌一直存在恶意软件感染其市场的问题,但Chrome网络商店越来越成为寻找感染机器新方法的恶意行为者的目标。根据ThreatPost,研究人员报告至少有八种流行的谷歌Chrome扩展程序已被入侵或滥用,以拦截互联网流量并在用户的浏览器中显示潜在的恶意广告。....