網(wǎng)站搭建服務(wù)提供商Wix.com 2016年4月曾遭遇大規(guī)模網(wǎng)絡(luò)攻擊企圖,當(dāng)時(shí)由流氓Chrome擴(kuò)展程序構(gòu)成的僵尸網(wǎng)絡(luò)創(chuàng)建Wix網(wǎng)站自行傳播,感染新用戶。
這起攻擊事件當(dāng)時(shí)未經(jīng)報(bào)道,但上周在Black Hat和DEF CON頂級(jí)黑客大會(huì)上,Wix安全團(tuán)隊(duì)負(fù)責(zé)人托馬爾·科恩披露了該事件更多細(xì)節(jié)。
攻擊者先攻擊Wix后,再攻擊Google Drive根據(jù)科恩的說(shuō)法,流氓Chrome擴(kuò)展程序下載惡意JavaScript代碼創(chuàng)建新Wix賬戶、發(fā)布免費(fèi)網(wǎng)站、并通過(guò)被感染受害者的Facebook Messenger服務(wù)發(fā)送新Wix網(wǎng)站的鏈接,因此感染了數(shù)萬(wàn)名用戶。
接收私人消息的受害者被誘騙至惡意Wix頁(yè)面,受害者進(jìn)一步受邀安裝這款流氓Chrome擴(kuò)展程序的副本。
該僵尸網(wǎng)絡(luò)處于初期階段,其開發(fā)人員只對(duì)感染數(shù)量感興趣,隨后垃圾郵件將用戶誘騙至更危險(xiǎn)的站點(diǎn)。科恩以及團(tuán)隊(duì)檢測(cè)到了該僵尸網(wǎng)絡(luò)的行動(dòng),并阻止其進(jìn)一步利用基礎(chǔ)設(shè)施的任何企圖。
兩個(gè)月之后,該僵尸網(wǎng)絡(luò)開發(fā)人員發(fā)起新一輪攻擊,但這次,他們使用Google Drive托管惡意網(wǎng)站,而非Wix。第二起攻擊事件發(fā)生在2016年6月,卡巴斯基實(shí)驗(yàn)室的研究人員發(fā)布報(bào)告詳述了這起攻擊。
此類攻擊今后可能會(huì)愈演愈烈科恩在Black Hat和DEF CON上表示,此類攻擊未來(lái)將會(huì)愈演愈烈,因?yàn)榱髅hrome 擴(kuò)展程序提供了簡(jiǎn)單的途徑可在任何網(wǎng)站執(zhí)行代碼。并且,攻擊者不一定需要?jiǎng)?chuàng)建自己的擴(kuò)展程序上傳至Chrome Web Store,他們能利用現(xiàn)有Chrome擴(kuò)展程序中的安全漏洞?!?/p>
科恩提到影響Chrome擴(kuò)展程序的一個(gè)XSS跨站腳本漏洞,該擴(kuò)展程序是Adobe去年冬天在更新Acrobat期間推送給用戶的。另外,AVG Web TuneUp(一款Chrome擴(kuò)展程序,會(huì)在用戶安裝防病毒軟件時(shí)被強(qiáng)制安裝)存在另一個(gè)XSS漏洞。此類XSS漏洞會(huì)讓攻擊者完全、永久控制受害者的瀏覽器,將擴(kuò)展程序變成僵尸。
科恩的演示文檔還包含PoC代碼,內(nèi)容容包括:如何利用三個(gè)良性的Chrome擴(kuò)展程序,并將其武器化執(zhí)行惡意活動(dòng)。