Dusinvis av Chrome-utvidelser hacket, over 2,6 millioner brukere utsatt for datatyveri

I et større cybersikkerhetsbrudd ble minst 35 populære Chrome-nettleserutvidelser kompromittert, noe som utsetter over 2,6 millioner brukere for potensielt datatyveri og innhenting av legitimasjon. Angrepet var rettet mot utvidelsesutviklere med en phishing-kampanje, slik at hackere kunne injisere ondsinnet kode i legitime utvidelser, og gjøre pålitelige verktøy om til trusler om datatyveri.

Hvordan angrepet skjedde

Bruddet begynte med en phishing-e-post som utgir seg for å være utviklerstøtte for Google Chrome Nettmarked. E-posten hevdet feilaktig at de målrettede utvidelsene sto i fare for å bli fjernet for brudd på retningslinjene, og oppfordret utviklere til å følge en lenke for å "løse problemet." Denne koblingen ga tillatelser til en ondsinnet OAuth-app kalt "Privacy Policy Extension", som ga angripere tilgang til utviklerens kontoer.

Når tilgangen ble oppnådd, ble skadelig kode lastet opp til de berørte utvidelsene. Denne koden:

• Stjal informasjonskapsler og brukertilgangstokener .
• Kommuniserte med kommando-og-kontroll-servere (C&C) for å laste ned ytterligere instruksjoner.
• Eksfiltrerte brukerdata for videre utnyttelse.

Angrepet kom frem da nettsikkerhetsfirmaet Cyberhaven avslørte at en av dets ansatte ble målrettet 24. desember. Firmaets nettleserutvidelse ble raskt utnyttet, men denne hendelsen var bare toppen av isfjellet.

Full liste over kompromitterte utvidelser

Ettersom etterforskerne gravde dypere, identifiserte de følgende kompromitterte Chrome-utvidelser:

1. AI Assistant – ChatGPT og Gemini for Chrome
2. Bard AI Chat-utvidelse
3. GPT 4-sammendrag med OpenAI
4. Søk Copilot AI Assistant for Chrome
5. TinaMind AI-assistent
6. Wayin AI
7. VPNCity
8. Internxt VPN
9. Vidnoz Flex videoopptaker
10. VidHelper Video Nedlasting
11. Bokmerke Favicon Changer
12. Castorus
13. Ustemme
14. Lesermodus
15. Papegøyesamtaler
16. Primus
17. Tackker - Online Keylogger Tool
18. AI Shop Buddy
19. Sorter etter eldst
20. Rewards Search Automator
21. ChatGPT Assistant - Smart søk
22. Tastaturhistorikkopptaker
23. Send e-post til Hunter
24. Visuelle effekter for Google Meet
25. Tjen - Opptil 20 % Cash Back
26. Hvor er Cookie?
27. Nettspeil
28. ChatGPT-appen
29. Hei AI
30. Web3Password Manager
31. YesCaptcha-assistent
32. Proxy SwitchyOmega (V3)
33. GraphQL nettverksinspektør
34. ChatGPT for Google Meet
35. GPT 4-sammendrag med OpenAI

Denne omfattende listen fremhever omfanget av bruddet, og påvirker utvidelser som brukes til AI-hjelp, VPN-tjenester, produktivitet og mer.

Skadelige aktiviteter avdekket

Angriperne gjorde mer enn bare å stjele data. Analyse av kompromitterte utvidelser avslørte:

• Målretting mot identitet og legitimasjon : Skadelig kode oppsøkte tilgangstokener og identitetsinformasjon, spesielt Facebook Ads-kontoer.
• Museklikkovervåking : Kodelogget bruker klikker på Facebook-sider for å fange opp QR-koder, og kan potensielt omgå tofaktorautentisering (2FA) .
• Inntektsgenereringsordninger : I noen tilfeller hadde utviklere allerede inkludert SDK-er for datainnsamling for inntektsgenerering før bruddet.

Utvidelser som Visual Effects for Google Meet brukte et annonseblokkerende bibliotek knyttet til Urban VPN som skjulte samlet inn brukerdata.

Hvor lenge har dette skjedd?

Bevis tyder på at denne kampanjen kan ha vært aktiv siden 2022 eller tidligere. Etterforskere sporet domeneregistreringer knyttet til den ondsinnede aktiviteten så langt tilbake som i 2021. For eksempel:

• Domenet nagofsg[.]com ble registrert i august 2022.
• Domenet sclpfybn[.]com ble registrert i juli 2021.

Pågående risikoer

Selv om mange kompromitterte utvidelser er fjernet eller oppdatert på Chrome Nettmarked, er ikke risikoen fullstendig redusert. Hvis den skadelige versjonen av en utvidelse fortsatt er aktiv på en brukers enhet, kan den fortsette å stjele data.

"Hvis du fjerner en utvidelse fra Chrome Nettmarked, fjernes den ikke automatisk fra brukerens endepunkter," advarer Or Eshed, administrerende direktør i LayerX Security.

Hva du kan gjøre

Her er trinnene du kan ta for å beskytte dataene dine:

1. Avinstaller berørte utvidelser : Se gjennom listen over kompromitterte utvidelser og fjern alle du har installert.
2. Tilbakekall tillatelser : Hvis du har gitt tillatelser til mistenkelige utvidelser eller apper, tilbakekall dem umiddelbart i Google-kontoinnstillingene dine.
3. Aktiver 2FA : Styrk kontoene dine med tofaktorautentisering der det er mulig.
4. Oppdater passord : Endre passord for kontoer som kan ha blitt utsatt.
5. Overvåk for uvanlig aktivitet : Se etter uautorisert tilgang eller aktivitet på kontoene dine.

Siste tanker

Denne hendelsen understreker det kritiske behovet for årvåkenhet når du bruker nettleserutvidelser. Selv om utvidelser er kraftige verktøy, representerer de også betydelige sikkerhetsrisikoer hvis de kompromitteres. Både utviklere og brukere må være oppmerksomme på phishing-kampanjer og granske tillatelser og oppdateringer.

Googles gjennomgangsprosess for Chrome Nettmarked må også tilpasses for bedre å oppdage ondsinnet aktivitet og beskytte brukere mot lignende trusler i fremtiden.

Ved å holde seg informert og proaktiv kan brukere bidra til å minimere risikoen som dette og fremtidige angrep utgjør. Ikke la pålitelige verktøy bli en inngangsport for nettkriminelle – iverksett tiltak for å beskytte dataene dine i dag.