黑客利用恶意 Chrome 扩展程序攻击用户窃取 Meta 登录凭证

该活动的运营商已经重新利用了以前恶意扩展的基础设施，表明威胁正在不断演变，即将社会工程诱饵适应当前的数字营销趋势。

该扩展的分发渠道部署了专业制作的域名（例如 privacy-shield.world 和 madgicxads.world），模拟真实的分析和优化服务。

以提高活动投资回报率为借口鼓励访问者安装该扩展程序，但实际上却授予其完全主机访问权限和网络请求拦截功能。

Cyber​​eason 分析师指出，一旦安装，该扩展程序就会将内容脚本注入到每个访问的页面中，从而实现表单输入和会话 cookie 的实时收集。

此级别的访问允许攻击者绕过内容安全策略并直接与 Meta 的内部 API 进行交互。

影响评估表明，泄露的凭证可能导致未经授权的广告预算修改、新的广告活动创建以及商业账户的完全接管。

中小型企业通常缺乏专门的安全团队，由于他们经常将广告管理委托给第三方工具，因此面临的风险尤其高。

该扩展程序能够轻松地从出站请求中删除 HTTP Origin 标头，这进一步说明了其能够进行无缝浏览器中间人攻击的能力。

受害者可能一直没有意识到，直到他们在 Meta Business Manager 仪表板中发现不明原因的账单费用或丢失的活动。

在合法工具的伪装下，扩展的 manifest.json 授予“”的 host_permissions，并利用 declarativeNetRequest 规则从任何与模式“caller=ext”匹配的请求中删除原始标头。

此功能与将被盗令牌转发到命令和控制服务器的后台脚本相结合，构成了复杂的数据盗窃框架的基础。

通过图标哈希分析和 Shodan 查询，我们识别出了 Cloudflare 代理背后的真实 IP 地址，从而找到了 VDSina 所拥有的基础设施——VDSina 是一家之前与托管恶意资源有关的 ISP。

感染机制

安装后，扩展程序的清单会触发自动注入监视浏览器导航事件的后台脚本。

下面的代码片段说明了扩展程序如何拦截表单提交以捕获身份验证令牌：-

// manifest.json excerpt
{
  "host_permissions": ["<all_urls>"],
  "permissions": ["declarativeNetRequest","declarativeNetRequestWithHostAccess"],
  "content_scripts": [
    {
      "matches": ["*://*/*"],
      "js": ["background.iife.js"]
    }
  ]
}

攻击的核心在于 background.iife.js，它为对 Facebook 的 OAuth 端点的 XHR 请求建立监听器。

当用户登录时，脚本从 JSON 响应中提取“access_token”并将其存储在本地存储中，然后将其中继到 madgicx-plus.com 上的恶意 C2 域。

// background.iife.js snippet
chrome.webRequest.onBeforeSendHeaders.addListener(details => {
  details.requestHeaders = details.requestHeaders.filter(h => h.name !== 'Origin');
  return { requestHeaders: details.requestHeaders };
}, {urls: ["*://*.facebook.com/*"]}, ["blocking","requestHeaders"]);