Nova kampanja napada ciljala je poznata proširenja pretreživača Chrome, što je dovelo do ugrožavanja najmanje 16 ekstenzija i izlaganja preko 600.000 korisnika izloženosti podataka i krađi krendicijala.
Napad je ciljao izdavače ekstenzija pretreživač na Chrome web trgovini putem phishing kampanje i koristio njihove dozvole za pristup za stavljanje malicioznog koda u legitimne ekstenzije kako bi ukrao kolačiće i tokene za pristup korisnika.
Prva kompanija koja je postala žrtva kampanje bila je firma za cyber sigurnost Cyberhaven, čiji je jedan od zaposlenih bio na meti phishing napada 24. decembra, što je omogućilo hakerima da objave malicioznu verziju proširenja.
Dana 27. decembra, Cyberhaven je otkrio da je haker kompromitovao njegovu ekstenziju pretreživača i ubacio maliciozni kod za komunikaciju s vanjskim serverom za komandu i kontrolu (C&C) koji se nalazi na domeni cyberhavenext[.]pro, preuzeo dodatne konfiguracijske datoteke i eksfiltrirao korisnika podaci.
E-poruka za krađu identiteta, koja je navodno došla od podrške za razvojne programere Google Chrome web prodavnice, nastojala je izazvati lažni osjećaj hitnosti tvrdnjom da je njihova ekstenzija u neposrednoj opasnosti od uklanjanja iz prodavnice ekstenzija navodeći kršenje Programskih pravila za programere .
Takođe je pozivao primaoca da klikne na link kako bi prihvatio pravila, nakon čega su bili preusmjereni na stranicu za dodjelu dozvola malicioznu OAuth aplikaciji pod nazivom “Proširenje politike privatnosti”.
“Napadač je dobio potrebne dozvole putem maliciozne aplikacije (‘Privacy Policy Extension’) i učitao maliciozno proširenje za Chrome u Chrome web prodavnicu”, rekao je Cyberhaven . “Nakon uobičajenog procesa pregleda sigurnosti Chrome web trgovine, maliciozna ekstenzija je odobrena za objavljivanje.”
“Proširenja pretraživača su mekana osnova web sigurnosti”, kaže Or Eshed, izvršni direktor LayerX Security-a , specijalizirane za sigurnost proširenja pretraživača. „Iako smo skloni da smatramo ekstenzije pretraživača bezopasnim, u praksi im se često daju opsežne dozvole za osjetljive korisničke informacije kao što su kolačići, tokeni za pristup, informacije o identitetu i još mnogo toga.
„Mnoge organizacije čak i ne znaju koja su proširenja instalirale na svoje krajnje tačke i nisu svjesne stepena njihove izloženosti,“ kaže Eshed.
Nakon što su se pojavile vijesti o proboju Cyberhavena, brzo su identifikovane dodatne ekstenzije koje su takođe bile kompromitovane i komunicirale s istim C&C serverom.
Jamie Blasco, tehnički direktor SaaS sigurnosne kompanije Nudge Security, identifikovao je dodatne domene koji se rješavaju na istu IP adresu C&C servera koji se koristi za proboj Cyberhavena.
Daljnja istraga otkrila je više ekstenzija [Google Sheets] za koje se sumnja da su kompromitovane, prema sigurnosnoj platformi za proširenja pretraživača Secure Annex :
- AI asistent – ChatGPT i Gemini za Chrome
- Bard AI proširenje za ćaskanje
- GPT 4 sažetak sa OpenAI
- Pretražite Copilot AI Assistant za Chrome
- TinaMInd AI Assistant
- Wayin AI
- VPNCity
- Internxt VPN
- Vindoz Flex video snimač
- VidHelper Video Downloader
- Bookmark Favicon Changer
- Castorus
- Uvoice
- Reader Mode
- Parrot Talks
- Primus
- Tackker – online keylogger alat
- AI Shop Buddy
- Poredaj po najstarijem
- Rewards Search Automator
- ChatGPT pomoćnik – pametno pretraživanje
- Snimač istorije tastature
- Email Hunter
- Vizuelni efekti za Google Meet
- Zaradite – do 20% povrata gotovine
Ove dodatne kompromitovane ekstenzije ukazuju na to da Cyberhaven nije bio jednokratna meta, već dio opsežne napadne kampanje koja cilja legitimna proširenja pretraživača.
Osnivač Secure Annex-a John Tuckner rekao je za Hacker News da postoji mogućnost da kampanja traje od 5. aprila 2023., a vjerovatno čak i dalje na osnovu datuma registracije korištenih domena: nagofsg[.]com je registrovan u avgustu 2022. a sclpfybn[.]com je registrovan u julu 2021.
“Povezao sam isti kod prisutan u Cyberhaven napadima sa povezanim kodom (recimo Code1) u ekstenziji koja se zove ‘Reader Mode'”, rekao je Tuckner. “Kôd u ‘Reader Mode’ sadržavao je Cyberhaven napadni kod (Code1) i dodatni indikator kompromisa “sclpfybn[.]com” s vlastitim dodatnim kodom (Code2).”
“Okretanje na toj domeni dovelo me do sedam novih ekstenzija. Jedna od tih povezanih ekstenzija pod nazivom “Rewards Search Automator” imala je (Code2) koja se maskirala kao funkcionalnost ‘bezbjednog pregledanja’, ali je eksfiltrirala podatke.”
“‘Rewards Search Automator’ također je sadržavao maskiranu ‘ecommerce’ funkcionalnost (Code3) s novom domenom ‘tnagofsg[.]com’ koja je funkcionalno nevjerovatno slična ‘sigurnom pregledavanju’. Tražeći dalje na ovoj domeni, pronašao sam ‘Earny – Do 20% povrata novca’ koji još uvijek ima kod za e-trgovinu (Code3) i posljednji put ažuriran u aprilu 5, 2023.”
Analiza kompromitovanog Cyberhavena pokazuje da je zlonamjerni kod ciljao podatke o identitetu i pristupne tokene Facebook računa, a posebno Facebook poslovnih računa:
Korisnički podaci prikupljeni kompromitovanom ekstenzijom preglednika Cyberhaven (izvor: Cyberhaven)
Cyberhaven kaže da je maliciozna verzija ekstenzije pretraživača uklonjena oko 24 sata nakon što je objavljena. Neka od drugih izloženih ekstenzija su također već ažurirana ili uklonjena iz Chrome web trgovine.
Međutim, činjenica da je ekstenzija uklonjena iz Chrome trgovine ne znači da je izlaganje završeno, kaže Or Eshed. “Sve dok je kompromitovana verzija ekstenzije i dalje aktivna na krajnjoj tački, hakeri joj i dalje mogu pristupiti i eksfiltrirati podatke”, kaže on.
Istraživači sigurnosti nastavljaju tražiti dodatna otkrivena proširenja, ali sofisticiranost i obim ove napadne kampanje podigli su uporište za mnoge organizacije da osiguraju svoje ekstenzije pretraživača.
U ovom trenutku nije jasno ko stoji iza kampanje i da li su ovi kompromisi povezani. Hakerske vijesti su se obratile Google-u za daljnje komentare, a mi ćemo ažurirati priču ako dobijemo odgovor.
Izvor:The Hacker News
