Dusinvis af Chrome-udvidelser hacket, over 2,6 millioner brugere udsat for datatyveri

I et større cybersikkerhedsbrud blev mindst 35 populære Chrome-browserudvidelser kompromitteret, hvilket udsatte over 2,6 millioner brugere for potentielt datatyveri og indsamling af legitimationsoplysninger. Angrebet var rettet mod udvidelsesudviklere med en phishing-kampagne, som gjorde det muligt for hackere at injicere ondsindet kode i legitime udvidelser og forvandle pålidelige værktøjer til trusler om datatyveri.

Hvordan angrebet skete

Bruddet begyndte med en phishing-e-mail, der efterlignede Google Chrome Web Store Developer Support. E-mailen hævdede fejlagtigt, at de målrettede udvidelser var i fare for at blive fjernet for at overtræde politikker og opfordrede udviklere til at følge et link for at "løse problemet." Dette link gav tilladelser til en ondsindet OAuth-app kaldet "Privacy Policy Extension", som gav angribere adgang til udviklernes konti.

Når først adgang var opnået, blev skadelig kode uploadet til de berørte udvidelser. Denne kode:

  • Stjal cookies og brugeradgangstokens .
  • Kommunikeret med kommando-og-kontrol-servere (C&C) for at downloade yderligere instruktioner.
  • Eksfiltrerede brugerdata til yderligere udnyttelse.

Angrebet kom frem, da cybersikkerhedsfirmaet Cyberhaven afslørede, at en af dets ansatte blev angrebet den 24. december. Firmaets browserudvidelse blev hurtigt udnyttet, men denne hændelse var kun toppen af isbjerget.

Fuld liste over kompromitterede udvidelser

Da efterforskerne gravede dybere, identificerede de følgende kompromitterede Chrome-udvidelser:

  1. AI Assistant - ChatGPT og Gemini til Chrome
  2. Bard AI Chat-udvidelse
  3. GPT 4-oversigt med OpenAI
  4. Søg Copilot AI Assistant til Chrome
  5. TinaMind AI-assistent
  6. Wayin AI
  7. VPNCity
  8. Internxt VPN
  9. Vidnoz Flex videooptager
  10. VidHelper Video Downloader
  11. Bogmærke Favicon Changer
  12. Castorus
  13. Uvoice
  14. Læsertilstand
  15. Papegøjesamtaler
  16. Primus
  17. Tackker - Online Keylogger Tool
  18. AI Shop Buddy
  19. Sorter efter ældste
  20. Rewards Search Automator
  21. ChatGPT Assistant - Smart søgning
  22. Keyboard History Recorder
  23. Email Hunter
  24. Visuelle effekter til Google Meet
  25. Tjen - op til 20 % kontant tilbage
  26. Hvor er Cookie?
  27. Web spejl
  28. ChatGPT app
  29. Hej AI
  30. Web3Password Manager
  31. YesCaptcha-assistent
  32. Proxy SwitchyOmega (V3)
  33. GraphQL netværksinspektør
  34. ChatGPT til Google Meet
  35. GPT 4-oversigt med OpenAI

Denne omfattende liste fremhæver omfanget af bruddet, hvilket påvirker udvidelser, der bruges til AI-assistance, VPN-tjenester, produktivitet og mere.

Ondsindede aktiviteter afdækket

Angriberne gjorde mere end blot at stjæle data. Analyse af kompromitterede udvidelser afslørede:

  • Målretning efter identitet og legitimationsoplysninger : Ondsindet kode opsøgte adgangstokens og identitetsoplysninger, især Facebook Ads-konti.
  • Overvågning af museklik : Kodelogget bruger klikker på Facebook-sider for at fange QR-koder, hvilket potentielt omgår to-faktor-godkendelse (2FA) .
  • Indtægtsgenereringsordninger : I nogle tilfælde havde udviklere allerede inkluderet dataindsamlings-SDK'er til indtægtsgenerering før bruddet.

Udvidelser som Visual Effects til Google Meet brugte et annonceblokerende bibliotek knyttet til Urban VPN, der snigende indsamlede brugerdata.

Hvor længe har dette foregået?

Beviser tyder på, at denne kampagne kan have været aktiv siden 2022 eller tidligere. Efterforskere sporede domæneregistreringer knyttet til den ondsindede aktivitet så langt tilbage som i 2021. For eksempel:

  • Domænet nagofsg[.]com blev registreret i august 2022.
  • Domænet sclpfybn[.]com blev registreret i juli 2021.

Løbende risici

Selvom mange kompromitterede udvidelser er blevet fjernet eller opdateret i Chrome Webshop, er risikoen ikke fuldstændig afbødet. Hvis den ondsindede version af en udvidelse stadig er aktiv på en brugers enhed, kan den fortsætte med at stjæle data.

"Hvis du fjerner en udvidelse fra Chrome Webshop, fjernes den ikke automatisk fra brugerens slutpunkter," advarer Or Eshed, CEO for LayerX Security.

Hvad du kan gøre

Her er trin, du kan tage for at beskytte dine data:

  1. Afinstaller berørte udvidelser : Gennemgå listen over kompromitterede udvidelser, og fjern dem, du har installeret.
  2. Tilbagekald tilladelser : Hvis du har givet nogen tilladelser til mistænkelige udvidelser eller apps, skal du tilbagekalde dem med det samme i dine Google-kontoindstillinger.
  3. Aktiver 2FA : Styrk dine konti med to-faktor-godkendelse, hvor det er muligt.
  4. Opdater adgangskoder : Skift adgangskoder til konti, der muligvis er blevet afsløret.
  5. Overvåg for usædvanlig aktivitet : Hold øje med uautoriseret adgang eller aktivitet på dine konti.

Afsluttende tanker

Denne hændelse understreger det kritiske behov for årvågenhed, når du bruger browserudvidelser. Selvom udvidelser er kraftfulde værktøjer, repræsenterer de også betydelige sikkerhedsrisici, hvis de kompromitteres. Både udviklere og brugere skal være opmærksomme på phishing-kampagner og granske tilladelser og opdateringer.

Googles gennemgangsproces i Chrome Webshop skal også tilpasses for bedre at kunne opdage ondsindet aktivitet og beskytte brugere mod lignende trusler i fremtiden.

Ved at forblive informeret og proaktiv kan brugerne hjælpe med at minimere de risici, som dette og fremtidige angreb udgør. Lad ikke pålidelige værktøjer blive en gateway for cyberkriminelle – tag handling for at beskytte dine data i dag.

I Zane
January 6, 2025
Computer Security
Dansk
January 6, 2025
Computer Security

Populære opslag

Hvad er OperaGXSetup.exe-filen, og er den skadelig?

11 months siden

Eporner.com og hvorfor dets overdrevne pop-ups er risikabelt

12 days siden

Bemærk: Nogen tilføjede dig som deres gendannelses-e-mail-fidus

10 months siden

HackTool:Win32/Crack: en ondsindet trussel, der kan skade dit...

7 months siden

En potentielt alvorlig trussel: Trojan:Win32/Suschil!rfn

19 days siden

Hvad er truslen fra Packunwan Trojan Horse, og hvordan den kan...

11 months siden
Dansk
Indlæser...

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.