恶意Chrome扩展程序被用于银行诈骗

研究人员发现了一种利用Google Chrome Web Store中的恶意扩展程序进行银行诈骗的复杂手段。该扩展程序名为“Interface Online”，在安装后秘密监控Chrome浏览器的所有连接，并在用户访问特定页面时激活JavaScript程序，记录用户输入的用户名和密码，并将其上传到攻击者控制的服务器。

扩展程序的传播与检测

该扩展程序在过去17天内至少被上传了两次，尽管已被Google删除，但很快又重新出现。根据Virus Total服务的检测结果，该扩展程序在发布时未被58种广泛使用的反恶意软件产品检测到。Google在接到报告后删除了该扩展程序，但它在数小时后再次出现，并获得了23次下载。最终，Google在周三下午确认已彻底删除该扩展程序。

恶意扩展程序的利用方式

该扩展程序被用于针对巴西银行客户的高度定向攻击。攻击者通过电话联系负责公司财务的员工，警告他们如果不安装“安全模块”，将失去对其在线银行账户的访问权限。员工点击提供的链接后，会被重定向到Google托管的扩展程序页面，并在攻击者的指导下登录账户，从而泄露账户凭据。

Google Chrome扩展程序的安全漏洞

这不是Google首次被发现托管恶意扩展程序。去年，安全公司Malwarebytes报告了类似的事件，攻击者通过扩展程序将用户流量重定向到其控制的服务器。此外，最近有报道称多个扩展程序开发者账户被劫持，进一步暴露了Chrome扩展程序的安全漏洞。

专家建议与改进措施

研究人员Renato Marinho建议Google对Chrome扩展程序实施新的限制，例如监控并阻止扩展程序访问密码和其他敏感数据，除非用户明确授权。他还建议Google强制要求所有扩展程序开发者账户启用双因素认证，以增加账户被劫持的难度。

总结

尽管Google Chrome浏览器在安全性方面处于行业领先地位，但其扩展程序的安全性仍然存在漏洞。Google应尽快采取措施加强扩展程序的安全防护，以防止大规模用户受到攻击。