Aggregator

320 万用户因 Chrome 恶意浏览器扩展暴露信息

HackerNews
1 year 3 months ago
HackerNews 编译,转载请注明出处: 一项新发现的网络安全威胁显示,至少 320 万用户受到伪装成合法工具的恶意浏览器扩展的影响。16 个扩展(从屏幕截图工具到广告拦截器和表情键盘)被发现向用户的浏览器注入恶意代码。根据 GitLab 威胁情报,这些扩展促进了广告欺诈和搜索引擎优化(SEO)操纵,同时对数据泄露和进一步网络入侵的潜在初始访问构成了重大风险。 威胁行为者采用的攻击链是多阶段且高度复杂的,旨在规避检测的同时破坏浏览器安全。GitLab 的报告指出:“威胁行为者使用复杂的多阶段攻击来降低用户浏览器的安全性,然后注入内容,穿越浏览器安全边界并将恶意代码隐藏在扩展之外。” 攻击似乎始于 2024 年 7 月,威胁行为者获取了合法扩展的访问权限,而不是直接破坏它们。报告暗示,原始开发者可能在不知情的情况下将扩展的所有权转让给了攻击者,为恶意更新提供了直接路径。 到 2024 年 12 月,攻击升级为供应链入侵,涉及对开发者账户的网络钓鱼攻击,允许攻击者通过 Chrome 网上应用店推送恶意更新。这些更新引入了窃取 HTTP 头数据和 DOM 内容的脚本,利用远程存储的动态配置。 虽然这些扩展提供了其宣传的功能,但它们嵌入了一个通用的恶意框架。GitLab 的调查发现了服务工作线程功能的一致性,包括: 安装时进行配置检查,将扩展版本和唯一 ID 传输到远程服务器。 修改浏览器安全策略,特别是从每个会话访问的前 2000 个网站中删除内容安全策略(CSP)头。 持续的心跳信号以刷新配置数据并保持与攻击者命令与控制(C2)基础设施的连接。 GitLab 警告称,删除 CSP 会显著削弱浏览器安全,使用户容易受到跨站脚本(XSS)攻击和其他注入式利用。 “这一例程完全删除了恶意扩展用户的 Content Security Policy 保护。Content Security Policy 在防止 Cross Site Scripting 攻击方面发挥着重要作用,扩展在未经用户同意的情况下降低这种保护,明显违反了 Chrome 网上应用店程序政策,”报告警告说。 对恶意扩展基础设施的分析显示了一个专用配置服务器网络,每个服务器都与特定扩展相关联。例如: 扩展名称 配置服务器 Blipshot blipshotextension[.]com Emojis Keyboard emojikeyboardextension[.]com Nimble Capture api.nimblecapture[.]com Adblocker for Chrome abfc-extension[.]com KProxy kproxyservers[.]site 这些配置服务器利用了 BunnyCDN 和 DigitalOcean 的 Apps Platform,并使用一致的 x-do-app-origin 头,表明攻击者通过单一基于云的应用程序部署了所有配置。 此外,与攻击相关的脚本也被发现在针对组织的网络钓鱼工具包中嵌入,这表明攻击者与参与凭证盗窃活动的网络入侵行为者之间可能存在联系。 攻击者通过动态脚本注入确保了长期持久性。rcx-cd-v3.js 有效载荷使用了高级 JavaScript 混淆技术在浏览器中执行代码。这一有效载荷使得网络请求的修改成为可能,包括: 通过在服务工作线程中执行请求来绕过 CORS 限制。 修改广告拦截规则,允许广告域的同时阻止微软的跟踪服务。 向访问欧洲地区亚马逊产品页面的受害者注入带有恶意内容的 iframe 和后台标签。 GitLab 的研究人员怀疑,这些活动支持点击欺诈活动、SEO 操纵,甚至可能涉及敏感数据盗窃。 谷歌在 2025 年 1 月接到通知,并已从 Chrome 网上应用店中移除了所有已识别的恶意扩展。然而,从应用店中移除并不会触发自动卸载。之前安装了这些扩展的用户必须手动从浏览器中删除它们。   消息来源:Security Online; 本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

Rubrik 在日志服务器遭到入侵后更换认证密钥

HackerNews
1 year 3 months ago
HackerNews 编译,转载请注明出处: Rubrik 上个月披露,其一台托管日志文件的服务器遭到入侵,导致公司更换了可能泄露的认证密钥。 该公司已向 BleepingComputer 确认,此次入侵并非勒索软件事件,且公司未收到任何来自威胁行为者的通信。 Rubrik 是一家专注于数据保护、备份和恢复的网络安全公司,在全球 22 个办公室拥有超过 3000 名员工。该公司在全球拥有超过 6000 名客户,包括 AMD、Adobe、Pepsico、Home Depot、Allstate、Sephora、GSK、Honda、Harvard University 和 TrelliX 等知名企业。 在 2 月 2 日发布的一份安全公告中,Rubrik 表示检测到其托管日志文件的服务器上存在异常活动,Kevin Beaumont 首先发现了这一公告。 “Rubrik 信息安全团队最近发现一台包含日志文件的服务器上存在异常活动。我们立即将该服务器下线以降低风险,” Rubrik 的安全公告中写道。 “在第三方法医合作伙伴支持下进行的调查确认,此次事件仅限于这一台服务器,我们未发现任何未经授权访问我们代表客户保护的数据或我们内部代码的证据。” 然而,Rubrik 表示,少量日志文件中包含访问信息,出于谨慎考虑,公司决定更换认证密钥。 该公司表示,没有迹象表明这些信息被滥用。 此外,Rubrik 表示,他们的调查未发现威胁行为者获取客户数据或内部源代码的证据。 Rubrik 此前曾在 2023 年遭受数据泄露,当时公司的数据在 Clop 勒索软件团伙发起的大规模 Fortra GoAnywhere 数据盗窃攻击中被盗。   消息来源:Bleeping Computer; 本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

黑客利用 Paragon 分区管理器驱动程序漏洞发动勒索软件攻击

HackerNews
1 year 3 months ago
HackerNews 编译,转载请注明出处: 网络犯罪分子正在利用 Paragon 分区管理器的 BioNTdrv.sys 驱动程序中的安全漏洞发动勒索软件攻击,以提升权限并执行任意代码。 这一零日漏洞(CVE-2025-0289)是微软发现的五个漏洞之一,据CERT协调中心(CERT/CC)表示。 “这些漏洞包括任意内核内存映射和写入漏洞、空指针解引用、不安全的内核资源访问以及任意内存移动漏洞。”CERT/CC 说道。 在一种假设的攻击场景中,本地访问 Windows 机器的攻击者可以利用这些漏洞提升权限或通过利用 ‘BioNTdrv.sys’ 由微软签名的事实来引发拒绝服务(DoS)状况。 这还为所谓的自带漏洞驱动程序(BYOVD)攻击铺平了道路,在这些攻击中,驱动程序未安装的系统会受到攻击,从而使威胁行为者能够获得提升的权限并执行恶意代码。 影响 BioNTdrv.sys 1.3.0 和 1.5.1 版本的漏洞列表如下: CVE-2025-0285:由于未验证用户提供的数据长度,7.9.1 版本中存在任意内核内存映射漏洞。攻击者可以利用此漏洞提升权限。 CVE-2025-0286:由于对用户提供的数据长度验证不当,7.9.1 版本中存在任意内核内存写入漏洞。此漏洞允许攻击者在受害者的机器上执行任意代码。 CVE-2025-0287:由于输入缓冲区中缺少有效的 MasterLrp 结构,7.9.1 版本中存在空指针解引用漏洞。这允许攻击者执行任意内核代码,从而提升权限。 CVE-2025-0288:由于 memmove 函数未能净化用户控制的输入,7.9.1 版本中存在任意内核内存漏洞。这允许攻击者写入任意内核内存并实现权限提升。 CVE-2025-0289:由于在将 MappedSystemVa 指针传递给 HalReturnToFirmware 之前未进行验证,17 版本中存在不安全的内核资源访问漏洞。这允许攻击者破坏受影响的服务。 Paragon 软件公司已经通过 2.0.0 版本的驱动程序解决了这些漏洞,易受攻击的驱动程序版本已被添加到微软的驱动程序阻止列表中。 这一事件发生在 Check Point 揭示了一起大规模恶意软件活动的几天后,该活动利用了与 Adlice 产品套件相关的另一个易受攻击的 Windows 驱动程序(“truesight.sys”)来绕过检测并部署 Gh0st RAT 恶意软件。   消息来源:The Hacker News;  本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

Managed ad