上周四，谷歌宣布從Chrome web商店中移除一款含有惡意軟件的擴展——The Great Suspender，初步估計該惡意擴展影響數(shù)百萬用戶。

使用 Chrome 瀏覽器時開上10幾個標簽是常有的事，如果再開上更多標簽而電腦硬件又過時的話，這時候就會感覺到卡了。The Great Suspender 這個 Chrome 擴展可以讓你把不需要的標簽進入睡眠模式以節(jié)省內(nèi)存，保證流暢的瀏覽體驗。

谷歌發(fā)布的公告稱，該擴展中含有惡意軟件，來自遠程服務(wù)器的攻擊者可以利用該擴展中添加的功能來執(zhí)行任意代碼，其中包括追蹤在線用戶和進行廣告欺詐。

安全研究人員Calum McConnell在GitHub中發(fā)帖稱，該擴展的原維護者已經(jīng)在2020年6月將該擴展出售給了未知的第三方，購買該擴展的用戶隨后在Chrome Web Store發(fā)布的2個版本v7.1.8 和v7.1.9 是惡意的，會利用該擴展來進行廣告欺詐、用戶追蹤等行為。

該擴展在被下架和禁用前有超過200萬次的安裝量。該擴展的惡意行為是從2020年11月開始的，微軟去年11月就在Edge 瀏覽器中攔截該擴展了。

安全研究人員Bojan Zdrnja公開了一種新的方法，可以利用 Chrome 瀏覽器的同步功能來繞過防火墻，與攻擊者控制的服務(wù)器建立連接用于數(shù)據(jù)竊取。由于惡意擴展的請求數(shù)據(jù)大小和請求數(shù)量都是有限制的，因此比較適合于C2通信、竊取少量的敏感數(shù)據(jù)，比如認證 token。

由于攻擊活動需要對目標系統(tǒng)有物理接觸，因此谷歌除了下架處理外，不太可能會采用其他措施進行修復。

更多細節(jié)請參見：https://github.com/greatsuspender/thegreatsuspender/issues/1304

https://isc.sans.edu/diary/27066

本文翻譯自：https://thehackernews.com/2021/02/warning-hugely-popular-great-suspender.html如若轉(zhuǎn)載，請注明原文地址。