依據資安院觀測外部資安情資,近期發現駭客針對瀏覽器擴充功能進行惡意劫持活動(如Red Direction活動),其攻擊手法為利用合法之擴充功能,於後續更新中植入惡意程式碼,可監控使用者網頁瀏覽活動並傳送至C2伺服器,甚至導向釣魚網站。影響範圍:Chrome與Edge共計18種擴充功能,其可能含蓋超過230萬名使用者。
[建議措施]
- 清查並移除所有已確認存在惡意威脅之瀏覽器擴充功能。
- 清除瀏覽器快取、Cookie及相關會話資料,避免持續的憑證洩漏風險。
- 持續監控受影響主機及相同網段的網路行為,確保異常活動不再復發。
- 如懷疑帳號憑證已外洩,請強制重設相關使用者密碼及多因素驗證設定。
[擴充功能ID與名稱]
Chrome:
kgmeffmlnkfnjpgmdndccklfigfhajen — [Emoji keyboard online — copy&past your emoji.]
dpdibkjjgbaadnnjhkmmnenkmbnhpobj — [Free Weather Forecast]
gaiceihehajjahakcglkhmdbbdclbnlf — [Video Speed Controller — Video manager]
mlgbkfnjdmaoldgagamcnommbbnhfnhf — [Unlock Discord — VPN Proxy to Unblock Discord Anywhere]
eckokfcjbjbgjifpcbdmengnabecdakp — [Dark Theme — Dark Reader for Chrome]
mgbhdehiapbjamfgekfpebmhmnmcmemg — [Volume Max — Ultimate Sound Booster]
cbajickflblmpjodnjoldpiicfmecmif — [Unblock TikTok — Seamless Access with One-Click Proxy]
pdbfcnhlobhoahcamoefbfodpmklgmjm — [Unlock YouTube VPN]
eokjikchkppnkdipbiggnmlkahcdkikp — [Color Picker, Eyedropper — Geco colorpick]
ihbiedpeaicgipncdnnkikeehnjiddck — [Weather]
Edge:
jjdajogomggcjifnjgkpghcijgkbcjdi — [Unlock TikTok]
mmcnmppeeghenglmidpmjkaiamcacmgm — [Volume Booster — Increase your sound]
ojdkklpgpacpicaobnhankbalkkgaafp — [Web Sound Equalizer]
lodeighbngipjjedfelnboplhgediclp — [Header Value]
hkjagicdaogfgdifaklcgajmgefjllmd — [Flash Player — games emulator]
gflkbgebojohihfnnplhbdakoipdbpdm — [Youtube Unblocked]
kpilmncnoafddjpnbhepaiilgkdcieaf — [SearchGPT — ChatGPT for Search Engine]
caibdnkmpnjhjdfnomfhijhmebigcelo — [Unlock Discord]
資料來源:https://cert.tanet.edu.tw/