浏览器扩展

对手可能会滥用 Internet 浏览器扩展来建立对受害者系统的持久访问。浏览器扩展或插件是可以添加功能并自定义 Internet 浏览器各个方面的小程序。它们可以直接安装或通过浏览器的应用商店安装，通常具有浏览器可以访问的所有内容的访问权限和权限。(引用: Wikipedia Browser Extension)(引用: Chrome Extensions Definition) 恶意扩展可以通过伪装成合法扩展的恶意应用商店下载、通过社会工程或已被对手破坏的系统安装到浏览器中。浏览器应用商店的安全性可能有限，因此恶意扩展可能很容易击败自动扫描程序。(引用: Malicious Chrome Extension Numbers) 根据浏览器的不同，对手还可能操纵扩展的更新 URL 以从对手控制的服务器安装更新，或操纵移动配置文件以静默安装其他扩展。 在 macOS 11 之前，对手可以通过命令行使用 profiles 工具静默安装浏览器扩展，以安装恶意 .mobileconfig 文件。在 macOS 11+ 中，使用 profiles 工具不再能够安装配置文件，但可以种植和安装 .mobileconfig 文件，需用户交互。(引用: xorrior chrome extensions macOS) 一旦安装了扩展，它可以在后台浏览网站，窃取用户在浏览器中输入的所有信息（包括凭据），并用作持久性的 RAT 安装程序。(引用: Chrome Extension Crypto Miner)(引用: ICEBRG Chrome Extensions)(引用: Banker Google Chrome Extension Steals Creds)(引用: Catch All Chrome Extension) 也有使用恶意 Chrome 扩展通过 命令和控制 进行持久后门的僵尸网络实例。(引用: Stantinko Botnet)(引用: Chrome Extension C2 Malware) 对手还可能使用浏览器扩展修改浏览器权限和组件、隐私设置和其他安全控制以进行 防御规避。(引用: Browers FriarFox)(引用: Browser Adrozek)