W wyniku niedawnej kampanii ataków naruszono 16 rozszerzeń przeglądarki Chrome, narażając ponad 600 000 użytkowników na potencjalną kradzież danych i naruszenie zabezpieczeń. Kampania była skierowana do wydawców za pośrednictwem phishingu, umożliwiając atakującym wstrzyknięcie złośliwego kodu do legalnych rozszerzeń.
Zhakowane rozszerzenia Chrome: ujawniono ponad 600 000 użytkowników
Firma zajmująca się cyberbezpieczeństwem Cyberhaven była pierwszą znaną ofiarą, a pracownik padł ofiarą ataku phishingowego 24 grudnia. Naruszenie to umożliwiło atakującym opublikowanie złośliwej wersji rozszerzenia Cyberhaven. 27 grudnia Cyberhaven potwierdził, że rozszerzenie zostało naruszone i że wstrzyknięto złośliwy kod w celu interakcji z zewnętrznym serwerem dowodzenia i kontroli (C&C) w cyberhavenext[.]zawodowiec.
E-mail phishingowy, udający wiadomość od pomocy technicznej dla programistów sklepu Google Chrome Web Store, wywołał fałszywe poczucie pilności, twierdząc, że rozszerzenie odbiorcy może zostać usunięte z powodu naruszenia zasad. Kliknięcie linku doprowadziło ich do złośliwej aplikacji OAuth o nazwie „Rozszerzenie polityki prywatności”, która uzyskała niezbędne uprawnienia do przesłania złośliwej wersji rozszerzenia.
Po włamaniu do Cyberhaven badacze zidentyfikowali dodatkowe zainfekowane rozszerzenia powiązane z tym samym serwerem C&C, w tym AI Assistant – CzatGPT I Bliźnięta dla ChromeVPNCity i kilka innych. – powiedział John Tuckner, założyciel Secure Annex Wiadomości hakerskie że kampania ataków może sięgać 5 kwietnia 2023 r.
Dochodzenie Tucknera połączyło Cyberhaven i powiązane z nim ataki poprzez udostępnienie złośliwego kodu w rozszerzeniu „Tryb czytnika”. Niektóre z zaatakowanych rozszerzeń atakowały konta na Facebooku, szczególnie w ramach reklam na Facebooku, w celu wydobycia plików cookie i tokenów dostępu.
Cyberhaven poinformował, że złośliwe rozszerzenie zostało usunięte około 24 godziny po jego udostępnieniu. Ostrzega się jednak, że złośliwy kod może w dalszym ciągu pobierać dane od użytkowników, którzy zainstalowali zaatakowaną wersję przed jej usunięciem. Zespoły ds. bezpieczeństwa w dalszym ciągu badają inne ujawnione rozszerzenia w ramach tej szerszej kampanii.
Luka w zabezpieczeniach dwuskładnikowego uwierzytelniania przeglądarki Google Chrome
W miarę rozwoju włamania Cyberhaven ujawniło ono istotne luki w zabezpieczeniach, w tym możliwość ominięcia przez hakerów zabezpieczeń uwierzytelniania dwuskładnikowego. Cyberhaven potwierdził, że celem ataku było konkretnie logowanie do reklam w mediach społecznościowych i platform AI.
Naruszenie rozpoczęło się od ataku phishingowego, w ramach którego naruszono dane uwierzytelniające pracownika Google, co umożliwiło osobie atakującej przesłanie złośliwego rozszerzenia. Howard Ting, dyrektor generalny Cyberhaven, potwierdził, że jego zespół wykrył szkodliwe rozszerzenie wkrótce po jego udostępnieniu 25 grudnia i usunął je w ciągu godziny.
Zaatakowana wersja dotyczyła tylko użytkowników, którzy automatycznie zaktualizowali Chrome w okresie, w którym działał złośliwy kod. Cyberhaven podjął szybkie działania, powiadamiając klientów i wdrażając bezpieczną wersję rozszerzenia.
Cyberhaven zalecił zainteresowanym użytkownikom sprawdzenie, czy zaktualizowali swoje rozszerzenie, unieważnienie i zmianę haseł, które nie są zgodne z FIDOv2, a także przejrzenie dzienników pod kątem podejrzanej aktywności. Zaangażowali zewnętrzne firmy ochroniarskie do przeprowadzenia analizy kryminalistycznej i współpracują z organami ścigania w ramach reakcji na naruszenie.
Cyberhaven ponownie potwierdziło swoje zaangażowanie w przejrzystość i ciągłą poprawę bezpieczeństwa w świetle incydentu.
Autor wyróżnionego obrazu: Kerem Gülen/Midjourney
