Nulaužta dešimtys „Chrome“ plėtinių, daugiau nei 2,6 milijono vartotojų gali būti pavogti

Dėl didelio kibernetinio saugumo pažeidimo buvo pažeisti mažiausiai 35 populiarūs „Chrome“ naršyklės plėtiniai, dėl kurių daugiau nei 2,6 mln. vartotojų gali būti pavogti duomenys ir gauti kredencialai. Ataka buvo nukreipta į plėtinių kūrėjus, vykdydama sukčiavimo kampaniją, leidžiančią įsilaužėliams įvesti kenkėjišką kodą į teisėtus plėtinius, o patikimus įrankius paverčiant duomenų vagystės grėsme.

Kaip įvyko puolimas

Pažeidimas prasidėjo nuo sukčiavimo el. laiško, kuriame apsimeta „Google Chrome“ internetinės parduotuvės kūrėjų palaikymo komanda. El. laiške melagingai teigiama, kad tiksliniai plėtiniai gali būti pašalinti dėl politikos pažeidimo, o kūrėjai raginami spustelėti nuorodą, kad „išspręstumėte problemą“. Ši nuoroda suteikė leidimus kenkėjiškai „OAuth“ programai, pavadintai „Privatumo politikos plėtinys“, suteikdama užpuolikams prieigą prie kūrėjų paskyrų.

Gavus prieigą, į paveiktus plėtinius buvo įkeltas kenkėjiškas kodas. Šis kodas:

• Pavogė slapukus ir vartotojo prieigos žetonus .
• Bendrauja su komandų ir valdymo (C&C) serveriais, kad būtų galima atsisiųsti papildomų instrukcijų.
• Išfiltruoti vartotojo duomenys tolesniam naudojimui.

Ataka išaiškėjo, kai kibernetinio saugumo įmonė „Cyberhaven“ paskelbė, kad gruodžio 24 d. buvo nusitaikyta į vieną iš jos darbuotojų. Įmonės naršyklės plėtinys buvo greitai išnaudotas, tačiau šis incidentas buvo tik ledkalnio viršūnė.

Visas pažeistų plėtinių sąrašas

Tyrėjai, gilindamiesi, nustatė šiuos pažeistus „Chrome“ plėtinius:

1. AI asistentas – „ChatGPT“ ir „Gemini“, skirta „Chrome“.
2. Bard AI pokalbių plėtinys
3. GPT 4 santrauka su OpenAI
4. Ieškokite „Copilot AI Assistant“, skirto „Chrome“.
5. TinaMind AI asistentas
6. Wayin AI
7. VPNCity
8. Internxt VPN
9. Vidnoz Flex vaizdo registratorius
10. „VidHelper“ vaizdo įrašų atsisiuntimo programa
11. Žymės Favicon Changer
12. Castorus
13. Uvoice
14. Skaitytojo režimas
15. Papūgos pokalbiai
16. Primusas
17. Tackker – internetinis Keylogger įrankis
18. AI Shop Buddy
19. Rūšiuoti pagal seniausią
20. Apdovanojimų paieškos automatas
21. „ChatGPT Assistant“ – išmanioji paieška
22. Klaviatūros istorijos įrašymo įrenginys
23. El. paštu Hunter
24. Vaizdiniai efektai, skirti „Google Meet“.
25. Uždirbti – iki 20 % pinigų grąžinimo
26. Kur yra Cookie?
27. Žiniatinklio veidrodis
28. „ChatGPT“ programa
29. Sveiki AI
30. Web3Password Manager
31. YesCaptcha asistentas
32. Tarpinis serveris SwitchyOmega (V3)
33. GraphQL tinklo inspektorius
34. „Google Meet“ skirtas „ChatGPT“.
35. GPT 4 santrauka su OpenAI

Šiame išsamiame sąraše pabrėžiamas pažeidimo mastas, turintis įtakos plėtiniams, naudojamiems AI pagalbai, VPN paslaugoms, produktyvumui ir kt.

Atskleista kenkėjiška veikla

Užpuolikai padarė daugiau nei tiesiog pavogė duomenis. Pažeistų plėtinių analizė atskleidė:

• Taikymas pagal tapatybę ir kredencialus : kenkėjiškas kodas ieškojo prieigos raktų ir tapatybės informacijos, ypač „Facebook“ skelbimų paskyrų.
• Stebėjimas pelės paspaudimu : užregistruotas kodas vartotojas spustelėja „Facebook“ puslapius, kad užfiksuotų QR kodus, galbūt apeinant dviejų veiksnių autentifikavimą (2FA) .
• Pajamų gavimo schemos : kai kuriais atvejais kūrėjai jau buvo įtraukę duomenų rinkimo SDK, kad gautų pajamų prieš pažeidimą.

Plėtiniuose, pvz., „Google Meet“ skirtuose „Visual Effects“, buvo naudojama skelbimų blokavimo biblioteka, susieta su „Urban VPN“, kuri slapta rinko vartotojo duomenis.

Kiek laiko tai vyksta?

Įrodymai rodo, kad ši kampanija galėjo būti aktyvi nuo 2022 m. ar anksčiau. Tyrėjai atsekė domenų registracijas, susijusias su kenkėjiška veikla dar 2021 m. Pavyzdžiui:

• Domenas nagofsg[.]com buvo užregistruotas 2022 m. rugpjūčio mėn.
• Domenas sclpfybn[.]com buvo užregistruotas 2021 m. liepos mėn.

Nuolatinė rizika

Nors daugelis pažeistų plėtinių buvo pašalinti arba atnaujinti „Chrome“ internetinėje parduotuvėje, rizika nėra visiškai sumažinta. Jei kenkėjiška plėtinio versija vis dar aktyvi naudotojo įrenginyje, ji gali ir toliau vogti duomenis.

„Pašalinus plėtinį iš „Chrome“ internetinės parduotuvės, jis automatiškai nepašalinamas iš naudotojo galinių taškų“, – įspėja „LayerX Security“ generalinis direktorius Or Eshed.

Ką galite padaryti

Toliau pateikiami veiksmai, kurių galite imtis norėdami apsaugoti savo duomenis:

1. Pašalinkite paveiktus plėtinius : peržiūrėkite pažeistų plėtinių sąrašą ir pašalinkite visus, kuriuos įdiegėte.
2. Atšaukti leidimus : jei suteikėte kokių nors leidimų įtartiniems plėtiniams ar programoms, nedelsdami atšaukite juos „Google“ paskyros nustatymuose.
3. Įgalinti 2FA : kur tik įmanoma, sustiprinkite savo paskyras naudodami dviejų veiksnių autentifikavimą.
4. Atnaujinti slaptažodžius : pakeiskite paskyrų, kurios galėjo būti atskleistos, slaptažodžius.
5. Stebėkite neįprastą veiklą : stebėkite, ar jūsų paskyrose nėra neteisėtos prieigos ar veiklos.

Paskutinės mintys

Šis incidentas pabrėžia, kad naudojant naršyklės plėtinius reikia būti budriems. Nors plėtiniai yra galingi įrankiai, jie taip pat kelia didelę riziką saugumui, jei jie pažeidžiami. Tiek kūrėjai, tiek naudotojai turi išlikti budrūs dėl sukčiavimo kampanijų ir atidžiai išnagrinėti leidimus bei atnaujinimus.

„Google Chrome“ internetinės parduotuvės peržiūros procesą taip pat reikės pritaikyti, kad būtų galima geriau aptikti kenkėjišką veiklą ir apsaugoti vartotojus nuo panašių grėsmių ateityje.

Būdami informuoti ir aktyvūs, vartotojai gali padėti sumažinti šios ir būsimų atakų keliamą riziką. Neleiskite patikimiems įrankiams tapti vartais kibernetiniams nusikaltėliams – imkitės veiksmų, kad apsaugotumėte savo duomenis jau šiandien.