Δεκάδες επεκτάσεις του Chrome παραβιάστηκαν, περισσότεροι από 2,6 εκατομμύρια χρήστες εκτέθηκαν σε κλοπή δεδομένων

Σε μια μεγάλη παραβίαση της κυβερνοασφάλειας, τουλάχιστον 35 δημοφιλείς επεκτάσεις του προγράμματος περιήγησης Chrome παραβιάστηκαν, εκθέτοντας πάνω από 2,6 εκατομμύρια χρήστες σε πιθανή κλοπή δεδομένων και συλλογή διαπιστευτηρίων. Η επίθεση στόχευσε προγραμματιστές επεκτάσεων με μια καμπάνια phishing, επιτρέποντας στους χάκερ να εισάγουν κακόβουλο κώδικα σε νόμιμες επεκτάσεις, μετατρέποντας τα αξιόπιστα εργαλεία σε απειλές κλοπής δεδομένων.

Πώς έγινε η επίθεση

Η παραβίαση ξεκίνησε με ένα μήνυμα ηλεκτρονικού "ψαρέματος" που υποδύθηκε την υποστήριξη προγραμματιστών του Google Chrome Web Store. Το μήνυμα ηλεκτρονικού ταχυδρομείου ισχυρίστηκε ψευδώς ότι οι στοχευμένες επεκτάσεις κινδύνευαν να αφαιρεθούν λόγω παραβίασης πολιτικών και προέτρεψε τους προγραμματιστές να ακολουθήσουν έναν σύνδεσμο για να "επιλύσουν το πρόβλημα". Αυτός ο σύνδεσμος παραχώρησε δικαιώματα σε μια κακόβουλη εφαρμογή OAuth που ονομάζεται "Επέκταση Πολιτικής Απορρήτου", δίνοντας στους εισβολείς πρόσβαση στους λογαριασμούς των προγραμματιστών.

Μόλις αποκτήθηκε πρόσβαση, ο κακόβουλος κώδικας μεταφορτώθηκε στις επηρεαζόμενες επεκτάσεις. Αυτός ο κωδικός:

• Έκλεψε cookies και διακριτικά πρόσβασης χρήστη .
• Επικοινωνία με διακομιστές εντολών και ελέγχου (C&C) για λήψη πρόσθετων οδηγιών.
• Διήθηση δεδομένων χρήστη για περαιτέρω εκμετάλλευση.

Η επίθεση ήρθε στο φως όταν η εταιρεία κυβερνοασφάλειας Cyberhaven αποκάλυψε ότι ένας από τους υπαλλήλους της έγινε στόχος στις 24 Δεκεμβρίου. Η επέκταση του προγράμματος περιήγησης της εταιρείας έγινε γρήγορα αντικείμενο εκμετάλλευσης, αλλά αυτό το περιστατικό ήταν μόνο η κορυφή του παγόβουνου.

Πλήρης λίστα παραβιασμένων επεκτάσεων

Καθώς οι ερευνητές έσκαβαν βαθύτερα, εντόπισαν τις ακόλουθες παραβιασμένες επεκτάσεις του Chrome:

1. Βοηθός AI - ChatGPT και Gemini για Chrome
2. Επέκταση συνομιλίας Bard AI
3. Σύνοψη GPT 4 με το OpenAI
4. Αναζήτηση Copilot AI Assistant για Chrome
5. TinaMind AI Assistant
6. Wayin AI
7. VPNCity
8. Internx VPN
9. Συσκευή εγγραφής βίντεο Vidnoz Flex
10. Πρόγραμμα λήψης βίντεο VidHelper
11. Αλλαγή Favicon σελιδοδεικτών
12. Κάστορος
13. Uvoice
14. Λειτουργία ανάγνωσης
15. Ο Παπαγάλος μιλάει
16. Γκαζιέρα
17. Tackker - Online Keylogger Tool
18. AI Shop φίλε
19. Ταξινόμηση κατά Παλαιότερο
20. Rewards Search Automator
21. ChatGPT Assistant - Έξυπνη αναζήτηση
22. Συσκευή εγγραφής ιστορικού πληκτρολογίου
23. Email Hunter
24. Οπτικά εφέ για το Google Meet
25. Earny - Έως και 20% Cash Back
26. Πού είναι το Cookie;
27. Web Mirror
28. Εφαρμογή ChatGPT
29. Γεια σου AI
30. Web3Password Manager
31. Ναι Βοηθός Captcha
32. Proxy SwitchyOmega (V3)
33. GraphQL Network Inspector
34. ChatGPT για το Google Meet
35. Σύνοψη GPT 4 με το OpenAI

Αυτή η ολοκληρωμένη λίστα υπογραμμίζει την έκταση της παραβίασης, επηρεάζοντας τις επεκτάσεις που χρησιμοποιούνται για βοήθεια με τεχνητή νοημοσύνη, υπηρεσίες VPN, παραγωγικότητα και πολλά άλλα.

Αποκαλύφθηκαν κακόβουλες δραστηριότητες

Οι επιτιθέμενοι έκαναν περισσότερα από την κλοπή δεδομένων. Η ανάλυση των παραβιασμένων επεκτάσεων αποκάλυψε:

• Στόχευση ταυτότητας και διαπιστευτηρίων : Κακόβουλος κώδικας αναζητούσε διακριτικά πρόσβασης και πληροφορίες ταυτότητας, ιδιαίτερα λογαριασμούς Facebook Ads.
• Παρακολούθηση κλικ ποντικιού : Οι χρήστες που έχουν καταγραφεί με κωδικό κάνουν κλικ σε σελίδες Facebook για να καταγράψουν κωδικούς QR, παρακάμπτοντας ενδεχομένως τον έλεγχο ταυτότητας δύο παραγόντων (2FA) .
• Σχέδια δημιουργίας εσόδων : Σε ορισμένες περιπτώσεις, οι προγραμματιστές είχαν ήδη συμπεριλάβει SDK συλλογής δεδομένων για δημιουργία εσόδων πριν από την παραβίαση.

Επεκτάσεις όπως το Visual Effects για το Google Meet χρησιμοποίησαν μια βιβλιοθήκη αποκλεισμού διαφημίσεων συνδεδεμένη με το Urban VPN που συνέλεγε κρυφά δεδομένα χρηστών.

Πόσο καιρό έχει συμβεί αυτό;

Τα στοιχεία δείχνουν ότι αυτή η καμπάνια μπορεί να ήταν ενεργή από το 2022 ή νωρίτερα. Οι ερευνητές εντόπισαν εγγραφές τομέα που συνδέονται με την κακόβουλη δραστηριότητα ήδη από το 2021. Για παράδειγμα:

• Ο τομέας nagofsg[.]com καταχωρήθηκε τον Αύγουστο του 2022.
• Ο τομέας sclpfybn[.]com καταχωρήθηκε τον Ιούλιο του 2021.

Συνεχείς κίνδυνοι

Αν και πολλές παραβιασμένες επεκτάσεις έχουν καταργηθεί ή ενημερωθεί στο Chrome Web Store, ο κίνδυνος δεν μετριάζεται πλήρως. Εάν η κακόβουλη έκδοση μιας επέκτασης εξακολουθεί να είναι ενεργή στη συσκευή ενός χρήστη, μπορεί να συνεχίσει να κλέβει δεδομένα.

"Η κατάργηση μιας επέκτασης από το Chrome Web Store δεν την καταργεί αυτόματα από τα τελικά σημεία των χρηστών", προειδοποιεί ο Or Eshed, Διευθύνων Σύμβουλος της LayerX Security.

Τι μπορείτε να κάνετε

Ακολουθούν τα βήματα που μπορείτε να ακολουθήσετε για να προστατεύσετε τα δεδομένα σας:

1. Απεγκατάσταση επηρεαζόμενων επεκτάσεων : Ελέγξτε τη λίστα των παραβιασμένων επεκτάσεων και καταργήστε όσες έχετε εγκαταστήσει.
2. Ανάκληση αδειών : Εάν παραχωρήσατε οποιεσδήποτε άδειες σε ύποπτες επεκτάσεις ή εφαρμογές, ανακαλέστε τις αμέσως στις ρυθμίσεις του λογαριασμού σας Google.
3. Ενεργοποίηση 2FA : Ενισχύστε τους λογαριασμούς σας με έλεγχο ταυτότητας δύο παραγόντων όπου είναι δυνατόν.
4. Ενημέρωση κωδικών πρόσβασης : Αλλάξτε τους κωδικούς πρόσβασης για λογαριασμούς που ενδέχεται να έχουν εκτεθεί.
5. Παρακολούθηση για ασυνήθιστη δραστηριότητα : Παρακολουθήστε για μη εξουσιοδοτημένη πρόσβαση ή δραστηριότητα στους λογαριασμούς σας.

Τελικές Σκέψεις

Αυτό το περιστατικό υπογραμμίζει την κρίσιμη ανάγκη για επαγρύπνηση κατά τη χρήση επεκτάσεων προγράμματος περιήγησης. Αν και οι επεκτάσεις είναι ισχυρά εργαλεία, αντιπροσωπεύουν επίσης σημαντικούς κινδύνους ασφαλείας εάν παραβιαστούν. Οι προγραμματιστές και οι χρήστες πρέπει να παραμείνουν σε εγρήγορση για τις καμπάνιες ηλεκτρονικού "ψαρέματος" και να ελέγχουν εξονυχιστικά τα δικαιώματα και τις ενημερώσεις.

Η διαδικασία ελέγχου του Chrome Web Store της Google θα πρέπει επίσης να προσαρμοστεί για να εντοπίζει καλύτερα κακόβουλη δραστηριότητα και να προστατεύει τους χρήστες από παρόμοιες απειλές στο μέλλον.

Παραμένοντας ενημερωμένοι και προληπτικοί, οι χρήστες μπορούν να βοηθήσουν στην ελαχιστοποίηση των κινδύνων που ενέχει αυτή και μελλοντικές επιθέσεις. Μην αφήνετε τα αξιόπιστα εργαλεία να γίνουν πύλη για τους εγκληματίες του κυβερνοχώρου—να αναλάβετε δράση για να προστατέψετε τα δεδομένα σας σήμερα.