404 Information

108 个恶意 Chrome 扩展窃取了用户的 Google 和 Telegram 数据，影响约 2 万名用户 根据安全公司 Socket 的说法，这些扩展以五个不同的发布者名义发布——Yana Project、GameGen、SideGames、Rodeo Games 和 InterAlt——在 Chrome 网上应用店累计约有 2 万次安装。 安全研究员 Kush Pandya 在分析中表示：“这 108 个扩展都会把被窃取的凭证、用户身份信息和浏览数据发送到同一个服务器（144.126.135[.]238）。” 其中 54 个插件通过 OAuth2 窃取用户的 Google 帐户身份，45 个扩展带有一个通用后门——浏览器一启动就会打开任意网址，其余扩展则执行多种不同的恶意行为: ◦ 每隔 15 秒窃取一次 Telegram 网页版会话数据 ◦ 移除 YouTube 和 TikTok 的安全响应头（例如内容安全策略、X-Frame-Options 和 CORS），然后在页面中插入赌博浮层和广告 ◦ 在用户访问的所有页面中注入内容脚本 ◦ 将所有翻译请求通过威胁行为者的服务器进行代理转发 为了看起来更可信，这些被发现的扩展伪装成 Telegram 侧栏客户端、老虎机和基诺游戏、YouTube 与 TikTok 增强器、文本翻译工具以及各种页面实用程序。它们宣传的功能多种多样，目的是吸引更广的用户群，但实际上都使用同一个后端。 但用户并不知情，后台的恶意代码会窃取会话信息、注入任意脚本并打开攻击者指定的网页。 以下是部分已发现的扩展： • Telegram Multi-account(ID: obifanppcpchlehkjipahhphbcbjekfa)：扩展会窃取 Telegram Web 使用的 user_auth 令牌并将数据传送到远程服务器。它还能用攻击者提供的会话数据覆盖浏览器的 localStorage 并强制加载消息应用，从而把受害者当前的 Telegram 会话替换为攻击者指定的会话。 • Web Client for Telegram - Teleside(ID: mdcfennpfgkngnibjbpnpaafcjnhcjno)：删除 Telegram 的安全头信息并注入恶意脚本，从而窃取用户的 Telegram 会话信息。 • Formula Rush Racing Game(ID: akebbllmckjphjiojeioooidhnddnplj)：会在受害者首次点击“登录”按钮时窃取其 Google 帐户信息，获取的内容包括电子邮件地址、姓名、头像链接和 Google 帐户 ID 等个人资料信息。 🗒 标签: #Chrome#Google#Telegram 📢 频道: @GodlyNews1 🤖 投稿: @GodlyNewsBot