Több tucat Chrome-bővítményt feltörtek, több mint 2,6 millió felhasználót tettek ki adatlopásnak

Egy jelentős kiberbiztonsági incidens során legalább 35 népszerű Chrome böngészőbővítmény veszélybe került, ami több mint 2,6 millió felhasználót tett ki potenciális adatlopásnak és hitelesítő adatgyűjtésnek. A támadás a bővítmények fejlesztőit célozta meg egy adathalász kampánysal, lehetővé téve a hackerek számára, hogy rosszindulatú kódokat fecskendezzenek be a legális bővítményekbe, így a megbízható eszközöket adatlopó fenyegetéssé változtatták.

Hogyan történt a támadás

A jogsértés egy adathalász e-maillel kezdődött, amely a Google Chrome Internetes áruház fejlesztői támogatásának adja ki magát. Az e-mail hamisan azt állította, hogy a megcélzott bővítményeket az irányelvek megsértése miatt eltávolítják, és felszólította a fejlesztőket, hogy kövessék a linket a „probléma megoldásához”. Ez a hivatkozás engedélyt adott egy rosszindulatú, „Privacy Policy Extension” nevű OAuth-alkalmazásnak, így a támadók hozzáférhetnek a fejlesztői fiókokhoz.

A hozzáférés megszerzése után rosszindulatú kódot töltöttek fel az érintett bővítményekbe. Ez a kód:

• Cookie-kat és felhasználói hozzáférési tokeneket loptak el .
• Kommunikált parancs- és vezérlőszerverekkel a további utasítások letöltéséhez.
• Kiszűrt felhasználói adatok további hasznosítás céljából.

A támadásra akkor derült fény, amikor a Cyberhaven kiberbiztonsági cég nyilvánosságra hozta, hogy december 24-én az egyik alkalmazottját célba vették. A cég böngészőbővítményét gyorsan kihasználták, de ez az incidens csak a jéghegy csúcsa volt.

A kompromittált bővítmények teljes listája

Ahogy a nyomozók mélyebbre ástak, a következő feltört Chrome-bővítményeket azonosították:

1. AI Assistant – ChatGPT és Gemini Chrome-hoz
2. Bard AI Chat-bővítmény
3. GPT 4 összefoglaló OpenAI-val
4. Keresés a Copilot AI Assistant for Chrome-ban
5. TinaMind AI-asszisztens
6. Wayin AI
7. VPNCity
8. Internxt VPN
9. Vidnoz Flex Video Recorder
10. VidHelper Video Downloader
11. Könyvjelző Favicon Changer
12. Castorus
13. Uvoice
14. Olvasó mód
15. Papagáj beszélgetések
16. Primus
17. Tackker - Online Keylogger eszköz
18. AI Shop Buddy
19. Rendezés legrégebbi szerint
20. Rewards Search Automator
21. ChatGPT-asszisztens – Intelligens keresés
22. Billentyűzet előzményrögzítő
23. E-mail Hunter
24. Vizuális effektusok a Google Meethez
25. Keresni – akár 20% készpénz-visszatérítés
26. Hol van Cookie?
27. Web Mirror
28. ChatGPT alkalmazás
29. Szia AI
30. Web3Password Manager
31. YesCaptcha asszisztens
32. Proxy SwitchyOmega (V3)
33. GraphQL hálózati ellenőr
34. ChatGPT a Google Meethez
35. GPT 4 összefoglaló OpenAI-val

Ez az átfogó lista kiemeli a jogsértés mértékét, amely érinti az AI-segítséghez, VPN-szolgáltatásokhoz, termelékenységhez és egyebekhez használt bővítményeket.

Rosszindulatú tevékenységek feltárva

A támadók nem csak adatokat loptak. A kompromittált bővítmények elemzése feltárta:

• Személyazonosság és hitelesítő adatok célzása : A rosszindulatú kód hozzáférési tokeneket és személyazonossági információkat keresett, különösen a Facebook Ads-fiókokat.
• Egérkattintás-figyelés : A kódnaplózott felhasználók a Facebook-oldalakra kattintanak QR-kódok rögzítéséhez, potenciálisan megkerülve a kéttényezős hitelesítést (2FA) .
• Bevételszerzési sémák : Egyes esetekben a fejlesztők már a jogsértés előtt beépítettek adatgyűjtő SDK-kat bevételszerzés céljából.

Az olyan bővítmények, mint a Visual Effects for Google Meet, az Urban VPN-hez kapcsolt hirdetésblokkoló könyvtárat használtak, amely lopva gyűjtötte a felhasználói adatokat.

Mióta történik ez?

A bizonyítékok arra utalnak, hogy ez a kampány 2022 óta vagy korábban is aktív lehetett. A nyomozók már 2021-ig nyomon követték a rosszindulatú tevékenységhez kapcsolódó domain regisztrációkat. Például:

• A nagofsg[.]com domaint 2022 augusztusában regisztrálták.
• A sclpfybn[.]com domaint 2021 júliusában regisztrálták.

Folyamatos kockázatok

Bár sok feltört bővítményt eltávolítottak vagy frissítettek a Chrome Internetes áruházban, a kockázat nem csökken teljesen. Ha egy bővítmény rosszindulatú verziója továbbra is aktív a felhasználó eszközén, akkor folytathatja az adatok ellopását.

„Ha eltávolít egy bővítményt a Chrome Internetes áruházból, az nem távolítja el automatikusan a felhasználói végpontokról” – figyelmeztet Or Eshed, a LayerX Security vezérigazgatója.

Mit tehetsz

Íme a lépések, amelyeket megtehet adatai védelmében:

1. Az érintett bővítmények eltávolítása : Tekintse át a feltört bővítmények listáját, és távolítsa el a telepített bővítményeket.
2. Engedélyek visszavonása : Ha bármilyen engedélyt adott a gyanús bővítményeknek vagy alkalmazásoknak, azonnal vonja vissza azokat Google-fiókja beállításaiban.
3. 2FA engedélyezése : Ha lehetséges, erősítse meg fiókjait kéttényezős hitelesítéssel.
4. Jelszavak frissítése : Módosítsa azon fiókok jelszavát, amelyek valószínűleg ki vannak téve.
5. Figyelemmel kíséri a szokatlan tevékenységeket : Figyelje meg a fiókjaihoz kapcsolódó jogosulatlan hozzáférést vagy tevékenységet.

Végső gondolatok

Ez az incidens rávilágít arra, hogy a böngészőbővítmények használatakor rendkívüli éberségre van szükség. Bár a bővítmények hatékony eszközök, jelentős biztonsági kockázatot is jelentenek, ha feltörik. A fejlesztőknek és a felhasználóknak egyaránt figyelniük kell az adathalász kampányokra, és alaposan meg kell vizsgálniuk az engedélyeket és a frissítéseket.

A Google Chrome Internetes áruház felülvizsgálati folyamatának is alkalmazkodnia kell ahhoz, hogy a jövőben jobban észlelje a rosszindulatú tevékenységeket, és megvédje a felhasználókat a hasonló fenyegetésektől.

Azáltal, hogy tájékozottak maradnak és proaktívak maradnak, a felhasználók segíthetnek minimalizálni a jelen és a jövőbeli támadások által jelentett kockázatokat. Ne hagyja, hogy a megbízható eszközök a kiberbűnözők átjárójává váljanak – tegyen lépéseket adatai védelmében még ma.