恶意 Chrome 扩展窃取敏感数据-红客联盟 AI 分析报告

一、报告基础信息

• 情报来源：红客联盟官方门户 | https://www.chnhonker.com/3218.html
• 情报编号：HK-MW-202509043218
• 分析主体：红客联盟 AI 智能安全分析员
• 分析目标：解析恶意 Chrome 扩展的伪装手段、技术原理、数据窃取逻辑及防御方案，为 Chrome 用户防护、企业扩展管控、威胁狩猎提供依据。
• 报告声明：本报告来源网络情报，由红客联盟 AI 进行分析，仅供参阅与技术交流，不做任何保证。

二、分析内容开始

（一）恶意 Chrome 扩展基础概况

1. 核心定位与伪装特性
   • 威胁性质：针对 Chrome 浏览器的恶意扩展程序，聚焦 “隐蔽驻留 + 精准数据窃取”，截至 2025 年 9 月已发现 3 个变种家族（暂命名为 “ChromeStealer-01”“ChromeStealer-02”“ChromeStealer-03”）；
   • 伪装手段：伪装成 “实用工具类扩展”，包括 “广告拦截大师（AdBlock Pro Plus）”“密码安全检测（Password Checker）”“网页翻译助手（Web Translate Tool）”，通过第三方扩展商店（非 Chrome Web Store）、钓鱼链接（如 “Chrome 安全更新提示” 弹窗）诱导用户下载安装；
   • 隐蔽性佐证：在 VirusTotal 平台静态检测率仅 5/72（6.94%），安装后无独立图标，仅通过 “后台静默运行” 规避用户察觉，部分变种可绕过 Chrome “扩展权限审核” 机制长期驻留。
2. 目标用户与分发范围
   • 主要目标：全球普通 Chrome 用户及中小企业员工，重点瞄准 “频繁使用表单提交（如电商购物、办公登录）” 的群体；
   • 分发渠道：
     • 第三方平台：通过 “小众扩展聚合站”“论坛资源帖” 伪装成 “破解版工具” 传播；
     • 钓鱼诱导：在恶意网页弹出 “Chrome 浏览器存在安全漏洞，点击安装扩展修复” 的仿官方弹窗，引导用户下载本地 CRX 文件安装。

（二）核心技术原理：注入机制与数据窃取逻辑

1. 突破 Chrome 权限与隐蔽运行

• 权限劫持：安装时申请 “读取和更改所有网站数据”“管理浏览器标签页”“访问本地存储” 3 类高危权限，部分变种通过 “权限分阶段申请” 规避 Chrome 预警（初始申请 “仅特定网站数据访问”，后续通过后台脚本升级为全局权限）；
• 进程隐藏：不创建独立扩展面板，将核心恶意代码注入 Chrome “Renderer 进程”（负责网页渲染的进程），通过 “挂钩 Chrome 原生 API（如chrome.runtime.sendMessage）” 隐藏自身进程特征，使任务管理器无法识别异常进程。

2. DOM 注入与数据窃取技术

3. 数据回传与 C2 通信

• 回传时机：采用 “定时 + 触发式” 结合回传，定时（每 30 分钟）回传基础数据（浏览记录、Cookie），触发式（检测到表单提交时）实时回传敏感表单数据；
• 通信加密：通过 HTTPS 协议将加密后的数据发送至 C2 服务器，已发现 3 个活跃 C2 域名（api.webtools-update[.]com、data.sync-service[.]info、log.analysis-tool[.]net），IP 地址关联至东南亚地区的虚拟服务器；
• 数据销毁：回传成功后自动删除本地缓存的窃取数据，避免被安全工具检测到残留痕迹。

（三）攻击流程与典型案例

1. 完整攻击链拆解

1. 诱导安装：用户通过钓鱼弹窗或第三方平台下载恶意 CRX 文件，手动安装至 Chrome 浏览器；
2. 权限获取：扩展申请并获取高危权限，后台加载核心恶意脚本（core.js）；
3. 脚本注入：恶意脚本注入所有打开的网页，监控用户操作与数据；
4. 数据捕获：实时捕获表单数据、Cookie、浏览记录，本地加密存储；
5. 数据回传：按设定时机将加密数据发送至 C2 服务器；
6. 长期驻留：通过 “修改 Chrome 扩展配置文件（Preferences）” 禁用 “扩展自动更新”，防止被 Chrome 官方清理，实现数月甚至数年的持续窃取。

2. 典型受害案例

• 后果：该员工的 “企业 OA 登录密码”“电商后台管理账号”“个人银行卡信息” 被窃取，攻击者利用 OA 账号登录企业内网，下载 2000 + 客户信息，造成客户投诉与企业声誉损失；
• 发现过程：企业 EDR 监控到 “Chrome 进程向未知域名（api.webtools-update[.]com）发送大量加密数据”，溯源后确认恶意扩展感染。

（四）影响范围与行业风险

1. 用户层面危害：
   • 个人信息泄露：导致账号被盗、财产损失（如银行卡盗刷、电商账户消费）；
   • 身份冒用：攻击者利用窃取的 Cookie 与凭证，伪造用户身份进行违法活动（如发送钓鱼邮件、操作关联账户）。
2. 企业层面风险：
   • 内网渗透入口：员工设备感染后，恶意扩展可作为 “跳板”，窃取企业办公系统、CRM 系统的登录凭证，辅助攻击者横向渗透内网；
   • 数据合规风险：若窃取数据包含客户敏感信息（如身份证号、手机号），企业需承担《个人信息保护法》《GDPR》等法规下的合规处罚。

三、红客联盟 AI 研究院建议

1. 用户层面：即时防护与排查
   • 扩展排查：打开 Chrome→“设置→扩展程序”，删除 “来源不明”“无官方认证”“功能与描述不符” 的扩展，重点检查是否存在 “广告拦截大师（非官方版）”“密码安全检测” 等伪装扩展；
   • 权限管控：对保留的扩展，通过 “扩展程序→详情→权限” 关闭 “不必要的高危权限”（如非必要不授予 “读取所有网站数据” 权限）；
   • 安装规范：仅从 “Chrome Web Store” 安装扩展，拒绝点击 “网页弹窗提示的扩展安装链接”，不下载本地 CRX 文件安装。
2. 企业层面：扩展管控与监控
   • 部署扩展白名单：通过 Chrome 企业管理工具（Chrome Enterprise Management）配置 “扩展白名单”，仅允许员工安装经审核的官方扩展，禁止第三方扩展安装；
   • 流量监控：在防火墙 / EDR 中添加 “恶意 C2 域名拦截规则”，阻断api.webtools-update[.]com、data.sync-service[.]info等已知 C2 地址的通信；
   • 行为检测：创建 EDR 自定义规则，监控 “Chrome 进程向未知域名发送大量加密数据”“扩展权限异常升级” 等行为，发现后立即告警并隔离设备。
3. 长期防护：浏览器安全加固
   • 启用 Chrome 安全功能：开启 “安全浏览”（设置→隐私和安全→安全浏览→选择 “增强保护”），实时拦截恶意扩展与钓鱼链接；
   • 定期审计：企业每月开展一次 “Chrome 扩展审计”，排查员工设备中的异常扩展；个人用户每季度清理一次 “长期未使用的扩展”，减少安全隐患。