33 Niebezpieczne rozszerzenia Chrome, sprawdź czy je masz.
W okresie świątecznym odkryto, że co najmniej 33 rozszerzenia przeglądarki Chrome dostępne w Chrome Web Store, niektóre od 18 miesięcy, potajemnie wykradały wrażliwe dane z około 2,6 miliona urządzeń.
Incydent wyszedł na jaw, gdy firma Cyberhaven, zajmująca się zapobieganiem utracie danych, zauważyła, że jedno z jej rozszerzeń używane przez 400 000 klientów zostało zaktualizowane o kod kradnący dane.
Atak na Cyberhaven
Złośliwa wersja rozszerzenia Cyberhaven (24.10.4) była dostępna przez 31 godzin, od 25 grudnia 1:32 UTC do 26 grudnia 2:50 UTC. Przeglądarki Chrome z aktywnym rozszerzeniem Cyberhaven w tym czasie automatycznie pobierały i instalowały złośliwy kod. Cyberhaven szybko zareagował, wydając wersje 24.10.5, a kilka dni później 24.10.6.
Rozszerzenie Cyberhaven ma na celu zapobieganie przypadkowemu wprowadzaniu wrażliwych danych na odwiedzanych stronach internetowych lub w e-mailach. Analiza wersji 24.10.4 wykazała, że była ona skonfigurowana do współpracy z różnymi ładunkami pobieranymi z cyberhavenext[.]pro, złośliwej strony zarejestrowanej przez atakującego, aby sprawiała wrażenie powiązanej z firmą. Jeden z odzyskanych ładunków przeszukiwał urządzenia użytkowników w poszukiwaniu plików cookie i danych uwierzytelniających do domeny facebook.com. Inny ładunek, odzyskany przez firmę Secure Annex, kradł pliki cookie i dane uwierzytelniające do chatgpt.com; Cyberhaven stwierdził, że ten ładunek nie wydawał się funkcjonalny.
Metoda ataku
Złośliwa wersja została wprowadzona poprzez spear phishingowy e-mail wysłany do deweloperów rozszerzenia Cyberhaven w Wigilię. Wiadomość ostrzegała, że rozszerzenie nie jest zgodne z warunkami Google i zostanie usunięte, jeśli deweloper nie podejmie natychmiastowych działań.
Link w e-mailu prowadził do ekranu zgody Google, żądającego uprawnień dla aplikacji OAuth o nazwie Privacy Policy Extension. Jeden z deweloperów Cyberhaven udzielił zgody, nieświadomie dając atakującemu możliwość przesyłania nowych wersji rozszerzenia do Chrome Web Store. Atakujący wykorzystał to, aby opublikować złośliwą wersję 24.10.4.
Inne zaatakowane rozszerzenia
Po nagłośnieniu ataku odkryto, że inne rozszerzenia również padły ofiarą podobnych kampanii spear phishingowych. John Tuckner, założyciel firmy Secure Annex, zajmującej się analizą i zarządzaniem rozszerzeniami przeglądarek, poinformował, że zna 19 innych rozszerzeń Chrome, które zostały w podobny sposób skompromitowane. W każdym przypadku atakujący używali spear phishingu do wprowadzenia nowej złośliwej wersji oraz niestandardowych, przypominających oryginalne domen, aby dostarczać ładunki i odbierać dane uwierzytelniające. Łącznie te 20 rozszerzeń miało 1,46 miliona pobrań.
Lista zainfekowanych rozszerzeń
Poniżej przedstawiono niektóre z zainfekowanych rozszerzeń:
- Reader Mode: 300 000 użytkowników
- Tackker - online keylogger tool: 10 000 użytkowników
- AI Shop Buddy: 4 000 użytkowników
- Sort by Oldest: 2 000 użytkowników
- Rewards Search Automator: 100 000 użytkowników
- Earny - Up to 20% Cash Back: 100 000 użytkowników
- ChatGPT Assistant - Smart Search: 189 użytkowników
- Keyboard History Recorder: 5 000 użytkowników
- Email Hunter: 100 000 użytkowników
- Visual Effects for Google Meet: 900 000 użytkowników
- ChatGPT App: 7 000 użytkowników
- Web Mirror: 4 000 użytkowników
- Hi AI: 229 użytkowników
Zalecenia dla użytkowników
Osoby, które korzystały z tych skompromitowanych rozszerzeń, powinny rozważyć zmianę haseł i innych danych uwierzytelniających. Post na stronie Secure Annex dostarcza dodatkowych wskaźników kompromitacji.
Wnioski
Ten incydent podkreśla, jak ważne jest zarządzanie rozszerzeniami przeglądarek w programach bezpieczeństwa. Wiele rozszerzeń oferuje niewielkie korzyści, a mogą stanowić poważne zagrożenie dla bezpieczeństwa danych. Organizacje powinny rozważyć tworzenie list zarządzania zasobami przeglądarek, które pozwalają na uruchamianie tylko wybranych rozszerzeń i blokują wszystkie inne.