一种名为“浏览器同步劫持”（Browser Syncjacking）的新型攻击方式，展示了如何利用看似无害的Chrome扩展程序来接管受害者的设备。

这种攻击方法由SquareX的安全研究人员发现，涉及多个步骤，包括劫持Google账户、浏览器，最终实现对设备的完全控制。尽管攻击过程分为多个阶段，但其隐蔽性极高，仅需极少的权限，且几乎不需要受害者进行任何操作，只需安装一个看似合法的Chrome扩展程序。

同步劫持的攻击步骤

1. 创建恶意Google Workspace域

攻击首先从创建一个恶意的Google Workspace域开始。攻击者在该域中设置多个用户配置文件，并禁用多因素认证等安全功能。这个Workspace域将在后台用于在受害者设备上创建一个托管配置文件。

2. 发布伪装成合法工具的扩展程序

随后，攻击者在Chrome Web Store上发布一个伪装成有用工具的扩展程序。该扩展程序看似功能合法，但实际上隐藏着恶意代码。

3. 诱骗用户安装扩展程序

通过社交工程手段，攻击者诱骗受害者安装该扩展程序。安装后，扩展程序会在后台悄悄将受害者登录到攻击者控制的Google Workspace托管配置文件中。

4. 注入恶意内容并诱导同步

扩展程序随后会打开一个合法的Google支持页面。由于扩展程序具有网页的读写权限，它会在页面中注入内容，提示用户启用Chrome同步功能。

受害者选择同步其浏览配置文件来源：SquareX

一旦同步完成，包括密码和浏览历史在内的所有存储数据都将被攻击者获取。攻击者可以在自己的设备上使用被劫持的配置文件。

将受害者加入托管的Google Workspace来源：SquareX

5. 接管浏览器

在控制受害者的配置文件后，攻击者开始接管浏览器。在SquareX的演示中，这是通过一个伪造的Zoom更新完成的。

提示受害者安装伪造的Zoom更新来源：SquareX

研究人员指出，受害者可能会收到一个Zoom邀请，点击后进入Zoom网页时，扩展程序会注入恶意内容，提示需要更新Zoom客户端。然而，下载的文件实际上是一个包含注册令牌的可执行文件，使攻击者能够完全控制受害者的浏览器。

“一旦注册完成，攻击者将获得对受害者浏览器的完全控制权，可以静默访问所有Web应用程序、安装额外的恶意扩展程序、将用户重定向到钓鱼网站、监控/修改文件下载等。”SquareX的研究人员解释道。

6. 利用Chrome的Native Messaging API

通过利用Chrome的Native Messaging API，攻击者可以在恶意扩展程序和受害者的操作系统之间建立直接通信通道。这使得他们能够浏览目录、修改文件、安装恶意软件、执行任意命令、捕获键盘输入、提取敏感数据，甚至激活摄像头和麦克风。

访问受害者的Drive内容来源：SquareX

攻击的隐蔽性与危害

SquareX强调了这种攻击的隐蔽性和强大危害性，指出大多数用户很难察觉到异常。“与之前需要复杂社交工程的扩展程序攻击不同，这种攻击只需极少的权限和简单的社交工程步骤，几乎不需要用户交互即可执行。”报告描述道。

“除非受害者极度偏执于安全，并且具备足够的技术能力，能够不断检查Chrome设置以寻找托管浏览器的标签，否则几乎没有明显的视觉迹象表明浏览器已被劫持。”

Chrome扩展程序通常被视为孤立的风险，但最近的事件（如数百万用户使用的合法扩展程序被劫持）表明，这种风险远比想象中更大。

BleepingComputer已就此次新攻击联系了Google，若收到回复将更新报道。

参考来源：

New Syncjacking attack hijacks devices using Chrome extensions