假冒 VPN 浏览器扩展劫持 Chrome 和 Firefox 上的剪贴板数据

Glenn

两个冒充免费 VPN 服务的流行浏览器扩展程序被发现窃取用户的剪贴板数据。 Chrome 和 Firefox 插件秘密收集用户复制的所有内容,同时保持其代理功能看起来合法。

这些扩展程序以 VPN Go 品牌运营。截至发现时,Chrome 版本约有 146 名活跃安装用户,而 Firefox 版本则有 3,499 名用户。 Socket,一个新兴的开发者优先的网络安全平台,通知两个浏览器供应商恶意插件并要求将其从官方商店中删除。

开发人员通过看似普通的更新引入了剪贴板盗窃。 Chrome 扩展程序于去年 12 月推出时最初是作为一个干净的代理工具运行的。该恶意代码出现在今年五月底发布的最新版本中。

剪贴板窃贼尤其危险,因为许多人习惯将个人数据和密码复制到剪贴板。通过利用浏览器权限而不是操作系统本身,攻击者可以在用户很少或根本看不到的情况下捕获这些秘密。

恶意扩展如何运作

Chrome 扩展程序的恶意代码在用户访问的每个网站上都会被激活。它每半秒检查一次剪贴板是否有新内容。该脚本将复制的文本分成片段并创建一个唯一的会话标记。之后,它将所有内容转发给后台处理程序,然后将其传输出去。

该扩展程序忽略了重复的条目,从而防止了同一内容的多次上传。开发人员实施此操作是为了避免检测并减少可疑的网络流量。然后,后台服务人员将窃取的剪贴板数据转发到攻击者控制的服务器。

Firefox 版本也镜像了该过程,但使用了不同的方式来执行此操作。它在后台脚本中完成盗窃,并每 1.5 秒进行一次轮询。这可能是由于它们在架构上的差异。

这两个附加组件都连接到相同的后端系统,并且使用几乎相同的方式来获取和发送剪贴板内容。调查人员在 Chrome 版本的文件中找到了 Firefox 特定的配置详细信息,包括扩展 ID。这表明两个扩展共享共同的代码库或构建过程,因此它们可能具有相同的创建者。

VPN基础设施的恶意使用引起了全球的关注。当局最近关闭了“第一个 VPN 服务”在针对网络犯罪链接的国际行动中。

为什么剪贴板数据如此有价值

剪贴板数据被盗会带来重大的安全风险,因为它包含敏感细节。许多人通常将信息存储在剪贴板中,其中可能包括密码管理器、MFA 代码(来自身份验证器应用程序)、云服务的 API 密钥、第三方集成的 OAuth 令牌、云凭证、加密货币钱包地址以及数字钱包的恢复短语。

一旦恶意浏览器扩展捕获剪贴板上的数据,攻击者就可以利用它造成严重的安全损害。他们可以访问您的帐户并窃取您的信息,或者危害您的整个系统。

VPN Go 扩展将所有捕获的剪贴板数据发送回攻击者的服务器。这为攻击者提供了有关受害者的非常有效、连续的敏感信息流。

合法的代理功能帮助扩展程序避免了怀疑。用户看到 VPN 正常工作并认为该软件是安全的。代理操作所需的广泛权限为剪贴板监控提供了方便的掩护。

Socket 研究人员表示,这些扩展可以检索存储代理凭据、代理位置,并通过远程服务器路由浏览器流量。这种合法的功能有助于建立信任,并为广泛的浏览器权限提供令人信服的理由。

保护自己,知道该怎么做

Socket 建议任何使用这些扩展的人立即卸载它们。该公司还向 Google 和 Mozilla 报告了这两个扩展,以供审查和删除。

使用这些扩展程序的任何人都应将在此期间复制的所有敏感信息视为可能受到泄露。这包括密码、API 密钥、云凭据、OAuth 令牌、加密货币恢复材料以及安装扩展时复制的任何其他敏感信息。

用户应更改在扩展程序处于活动状态时访问的任何帐户的密码。如果他们复制了这些详细信息,他们还应该轮换 API 密钥并生成新的加密货币钱包地址。另一个重要做法是监控帐户是否存在可疑活动。

该事件凸显了仅安装受信任的浏览器扩展的重要性。用户在安装之前应仔细检查任何扩展程序请求的权限。请求剪贴板访问或读取所有网站上的数据的能力的扩展值得额外审查。