HackerNews 编译，转载请注明出处： 网络安全研究人员发现两款名称相同、开发者一致的恶意谷歌浏览器扩展程序，这两款程序具备拦截网络流量和窃取用户凭据的功能。 这两款扩展程序对外宣传为面向开发者与外贸从业者的 “多地区网络测速插件”。截至本文撰写时，它们仍可被下载获取。两款扩展程序的具体信息如下： 幻影穿梭（ID：fbfldogmkadejddihifklefknmikncaj）：用户量 2000 人，于 2017 年 11 月 26 日发布 幻影穿梭（ID：ocpcmfmiidofonkbodpdhgddhlcmcofd）：用户量 180 人，于 2023 年 4 月 27 日发布 “用户需支付 9.9 元至 95.9 元人民币（折合 1.40 至 13.50 美元）的订阅费用，以为自己购买的是合法 VPN 服务，但这两款变体程序执行的恶意操作完全相同。”Socket 安全研究员库什・潘迪亚表示。 “在订阅服务的伪装之下，这两款扩展程序通过注入身份验证凭据实现流量的全面拦截，充当中间人代理，并持续将用户数据窃取至威胁发起者的命令与控制服务器。” 毫无防备的用户完成付款后，会获得 VIP 权限，扩展程序随即自动开启 “智能” 代理模式，将来自超 170 个目标域名的流量路由至 C2 基础设施。 技术原理与窃取手段 这两款扩展程序会按宣传内容执行基础功能，以此营造出 “产品可用” 的假象。它们会对代理服务器进行真实的延迟测试，并展示连接状态，但对其核心目的 —— 拦截网络流量、窃取用户凭据 —— 则对用户完全隐瞒。 其恶意功能的实现，是通过对扩展程序内置的两个 JavaScript 库（即 jquery-1.12.2.min.js 和 scripts.js）进行前置恶意修改。相关代码被设计为：通过监听chrome.webRequest.onAuthRequired事件，在所有网站的每次 HTTP 身份验证请求中，自动注入硬编码的代理凭据（用户名：topfany / 密码：963852wei）。 “当任意网站或服务发起 HTTP 身份验证请求（包括基本身份验证、摘要式身份验证或代理身份验证）时，该监听器会在浏览器弹出凭据输入提示框之前触发，” 潘迪亚解释道，“它会立即返回硬编码的代理凭据，整个过程对用户完全透明。异步阻塞模式可确保凭据注入的同步执行，从而避免用户进行任何手动操作。” 用户完成代理服务器身份验证后，扩展程序会利用代理自动配置（PAC）脚本修改谷歌浏览器的代理设置，实现三种运行模式： 关闭模式：禁用代理功能 全局模式：将所有网络流量路由至代理服务器 智能模式：仅将硬编码列表中 170 余个高价值域名的流量路由至代理服务器 该目标域名列表涵盖开发者平台（GitHub、Stack Overflow、Docker）、云服务提供商（亚马逊云科技、DigitalOcean、微软 Azure）、企业级解决方案供应商（思科、IBM、威睿）、社交媒体平台（脸书、照片墙、推特），以及成人内容网站。Socket 推测，将成人网站纳入目标，可能是为了对受害者实施敲诈勒索。 这一系列操作带来的最终后果是：用户的网络流量会被路由至威胁发起者控制的代理服务器，同时扩展程序会以 60 秒为间隔，向其位于phantomshuttle[.]space的 C2 服务器发送心跳包，目前该域名仍处于运行状态。这一机制让攻击者获得中间人（MitM）攻击位置，进而实现流量捕获、响应篡改和任意有效载荷注入。 更值得警惕的是，心跳数据包会通过 HTTP GET 请求，每五分钟向外部服务器传输一次 VIP 用户的电子邮箱、明文密码及程序版本号，以此实现用户凭据的持续窃取和会话监控。 Socket 指出：“心跳机制的数据窃取（涵盖凭据与元数据），再加上代理中间人攻击（实时流量捕获），让这款扩展程序在运行期间具备持续、全面的数据窃取能力。” 简言之，当用户开启 VIP 模式访问目标域名时，该扩展程序可窃取其密码、信用卡号、身份验证 Cookie、浏览历史、表单数据、应用程序编程接口（API）密钥和访问令牌。此外，开发者相关机密信息的泄露，还可能为供应链攻击埋下隐患。 攻击团伙溯源线索 目前，这一已持续八年的恶意操作的幕后黑手身份仍不明确，但多项线索指向其为中国境内的操作团伙：扩展程序的描述文本使用中文；支付环节集成了支付宝与微信支付渠道；其 C2 服务器搭建于阿里云平台。 Socket 评价称：“订阅模式既实现了受害者留存，又能产生收益；再加上整合支付功能的专业化基础设施，共同构建起‘合法产品’的虚假外衣。用户以为自己购买的是 VPN 服务，却在毫不知情的情况下，任由自身网络流量被完全操控。” 安全建议 该研究发现凸显出，浏览器扩展程序正成为企业网络中一个缺乏管控的风险点。安全研究人员建议，已安装这两款扩展程序的用户应立即卸载；企业安全团队则需采取以下防护措施：部署扩展程序白名单机制、密切监控带有订阅付费功能且具备代理权限的扩展程序、对可疑的代理身份验证尝试开展网络监测。 消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 多个凭证数据集曝光了史上最大规模的数据泄露事件之一，总计暴露了惊人的160亿条登录凭证。这些数据很可能源自各种信息窃取程序。 不必要地汇总敏感信息可能与主动窃取数据同样危险。例如，Cybernews研究团队发现了多个超大规模数据集，其中存储了数十亿条登录凭证。从社交媒体、企业平台到VPN和开发者门户，无一幸免。 自今年年初以来，我们的团队一直在密切监控网络活动。截至目前，他们已发现30个被暴露的数据集，每个数据集包含的记录从数千万条到超过35亿条不等。总体而言，研究人员揭露了难以想象的160亿条记录。 除一个数据集外，其他所有被暴露的数据集此前均未报告：今年5月下旬，《连线》杂志曾报道一名安全研究人员发现了一个包含1.84亿条记录的“神秘数据库”。但该数据库的规模在本团队发现的列表中勉强挤进前二十名。最令人担忧的是，研究人员声称每隔几周就会出现新的大规模数据集，这表明信息窃取恶意软件的传播程度远超想象。 研究人员表示：“这不仅仅是一次泄露——它是大规模利用的蓝图。超过160亿条登录记录的暴露，使网络犯罪分子现在能够以前所未有的规模获取个人凭证，这些凭证可用于账户接管、身份盗窃和高度针对性的网络钓鱼攻击。”他们补充道：“尤其令人担忧的是这些数据集的结构和时效性——它们并非回收利用的旧泄露数据。这是新鲜的、可直接用于攻击的大规模情报。” 唯一的一线希望是，所有这些数据集都只是短暂暴露：时间刚好足够研究人员发现它们，但不足以查明是谁在控制这些海量数据。大多数数据集是通过未采取安全措施的Elasticsearch实例或对象存储实例暂时可访问的。 数十亿条暴露的记录包含什么？ 研究人员称，泄露数据集中的大部分数据是窃取程序恶意软件（stealer malware）的详细信息、凭证填充（credential stuffing）数据集和重新打包的泄露数据的混合体。 无法有效比较不同数据集之间的数据，但可以肯定存在重复记录。换句话说，无法确切得知实际有多少人或账户被暴露。 然而，团队设法收集到的信息显示，大部分信息遵循清晰的结构：首先是URL，然后是登录详情和密码。大多数现代信息窃取程序——即窃取敏感信息的恶意软件——正是以这种方式收集数据。 泄露数据集中的信息几乎为任何能想到的在线服务敞开了大门，从苹果、Facebook和Google，到GitHub、Telegram以及各种政府服务。当160亿条记录摆在面前时，很难遗漏任何东西。 据研究人员称，如此规模的凭证泄露为钓鱼攻击、账户接管、勒索软件入侵和商业邮件诈骗（BEC）攻击提供了燃料。该团队表示：“新旧窃取程序日志的混合——通常包含令牌（tokens）、cookie和元数据——使得这些数据对缺乏多因素认证（MFA）或凭证管理措施的组织尤其危险。” 哪些数据集暴露了数十亿条凭证？ 团队发现的数据集差异很大。例如，最小的数据集以恶意软件命名，包含超过1600万条记录。而最大的一个数据集很可能与葡萄牙语人群相关，包含超过35亿条记录。平均而言，一个暴露凭证的数据集包含5.5亿条记录。 有些数据集命名泛泛，如“logins”（登录）、“credentials”（凭证）等类似术语，导致团队难以深入了解其内容。然而，另一些数据集的名称则暗示了它们关联的服务。 例如，一个包含超过4.55亿条记录的数据集，其名称表明其源于俄罗斯联邦。另一个包含超过6000万条记录的数据集则以Telegram命名，这是一个基于云的即时通讯平台。 该团队强调：“新旧窃取程序日志的混合——通常包含令牌、cookie和元数据——使得这些数据对缺乏多因素认证或凭证管理措施的组织尤其危险。” 虽然命名并非推断数据来源的最佳方式，但似乎部分信息与云服务、商业导向数据甚至加密文件有关。一些数据集的名称很可能指向用于收集数据的某种恶意软件。 目前尚不清楚谁拥有这些泄露的数据。虽然可能是安全研究人员为检查和监控数据泄露而汇编的数据集，但几乎可以肯定其中一些泄露的数据集归网络犯罪分子所有。网络犯罪分子钟爱大规模数据集，因为聚合的数据集能帮助他们扩大各种攻击的规模，例如身份盗窃、钓鱼诈骗和未经授权的访问。 即使成功率不足百分之一，也可能为攻击者打开通向数百万个人的大门，这些人可能被诱骗泄露更敏感的信息，例如金融账户。令人担忧的是，由于不清楚谁拥有这些暴露的数据集，用户能采取的防护措施影响甚微。 然而，基本的网络安全防护至关重要。强大且频繁更换的密码可能是账户安全与信息被盗之间的分水岭。用户还应检查其系统是否存在信息窃取程序，以避免数据落入攻击者之手。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文