Tientallen Chrome-extensies gehackt, meer dan 2,6 miljoen gebruikers blootgesteld aan gegevensdiefstal

Bij een grote cybersecurity-inbreuk werden minstens 35 populaire Chrome-browserextensies gecompromitteerd, waardoor meer dan 2,6 miljoen gebruikers werden blootgesteld aan mogelijke gegevensdiefstal en het oogsten van inloggegevens. De aanval richtte zich op extensieontwikkelaars met een phishingcampagne, waardoor hackers schadelijke code in legitieme extensies konden injecteren, waardoor vertrouwde tools konden veranderen in bedreigingen voor het stelen van gegevens.

Hoe de aanval plaatsvond

De inbreuk begon met een phishing-e-mail die zich voordeed als Google Chrome Web Store Developer Support. De e-mail beweerde ten onrechte dat de beoogde extensies het risico liepen verwijderd te worden vanwege het schenden van het beleid en spoorde ontwikkelaars aan een link te volgen om "het probleem op te lossen". Deze link verleende toestemmingen aan een schadelijke OAuth-app genaamd "Privacy Policy Extension", waardoor aanvallers toegang kregen tot de accounts van de ontwikkelaars.

Zodra toegang was verkregen, werd schadelijke code geüpload naar de getroffen extensies. Deze code:

• Cookies en toegangstokens van gebruikers gestolen .
• Communiceerde met command-and-control (C&C)-servers om aanvullende instructies te downloaden.
• Geëxfiltreerde gebruikersgegevens voor verdere exploitatie.

De aanval kwam aan het licht toen cybersecuritybedrijf Cyberhaven bekendmaakte dat een van zijn werknemers op 24 december het doelwit was. De browserextensie van het bedrijf werd snel misbruikt, maar dit incident was slechts het topje van de ijsberg.

Volledige lijst met gecompromitteerde extensies

Toen onderzoekers dieper graven, identificeerden ze de volgende gecompromitteerde Chrome-extensies:

1. AI-assistent - ChatGPT en Gemini voor Chrome
2. Bard AI Chat-extensie
3. GPT 4 Samenvatting met OpenAI
4. Zoek Copilot AI Assistant voor Chrome
5. TinaMind AI-assistent
6. Weg AI
7. VPNStad
8. VPN voor internet
9. Vidnoz Flex-videorecorder
10. VidHelper-videodownloader
11. Bladwijzer Favicon-wisselaar
12. Bever
13. U-stem
14. Lezermodus
15. Papegaaienpraatjes
16. Primus
17. Takker - Online Keylogger-tool
18. AI-winkelmaatje
19. Sorteren op Oudste
20. Beloningen Zoek Automatiseerder
21. ChatGPT-assistent - Slim zoeken
22. Toetsenbord geschiedenis recorder
23. E-mail Hunter
24. Visuele effecten voor Google Meet
25. Earny - Tot 20% Cashback
26. Waar is Cookie?
27. Webspiegel
28. ChatGPT-app
29. Hoi AI
30. Web3Password-beheerder
31. JaCaptcha Assistent
32. Proxy SwitchyOmega (V3)
33. GraphQL-netwerkinspecteur
34. ChatGPT voor Google Meet
35. GPT 4 Samenvatting met OpenAI

Deze uitgebreide lijst geeft de omvang van de inbreuk weer, die gevolgen heeft voor extensies die worden gebruikt voor AI-ondersteuning, VPN-services, productiviteit en meer.

Kwaadaardige activiteiten ontdekt

De aanvallers deden meer dan alleen data stelen. Analyse van gecompromitteerde extensies onthulde:

• Identiteits- en inloggegevenstargeting : schadelijke code zocht naar toegangstokens en identiteitsgegevens, met name Facebook Ads-accounts.
• Controle van muisklikken : de gebruiker die de code registreert, klikt op Facebook-pagina's om QR-codes te registreren, waardoor mogelijk de tweefactorauthenticatie (2FA) wordt omzeild.
• Monetisatieschema's : In sommige gevallen hadden ontwikkelaars al SDK's voor dataverzameling opgenomen voor monetisatie vóór het lek.

Extensies zoals Visual Effects voor Google Meet maakten gebruik van een bibliotheek voor het blokkeren van advertenties die gekoppeld was aan Urban VPN en die heimelijk gebruikersgegevens verzamelde.

Hoe lang gebeurt dit al?

Bewijs suggereert dat deze campagne mogelijk al sinds 2022 of eerder actief is. Onderzoekers hebben domeinregistraties die verband houden met de kwaadaardige activiteit al sinds 2021 getraceerd. Bijvoorbeeld:

• Het domein nagofsg[.]com werd geregistreerd in augustus 2022.
• Het domein sclpfybn[.]com werd geregistreerd in juli 2021.

Doorlopende risico's

Hoewel veel gecompromitteerde extensies zijn verwijderd of bijgewerkt in de Chrome Web Store, is het risico niet volledig gemitigeerd. Als de kwaadaardige versie van een extensie nog steeds actief is op het apparaat van een gebruiker, kan deze doorgaan met het stelen van gegevens.

"Als u een extensie uit de Chrome Web Store verwijdert, wordt deze niet automatisch ook van de eindpunten van de gebruiker verwijderd", waarschuwt Or Eshed, CEO van LayerX Security.

Wat u kunt doen

U kunt de volgende stappen ondernemen om uw gegevens te beschermen:

1. Verwijder de aangetaste extensies : Bekijk de lijst met aangetaste extensies en verwijder alle extensies die u hebt geïnstalleerd.
2. Machtigingen intrekken : Als u machtigingen hebt verleend aan verdachte extensies of apps, moet u deze onmiddellijk intrekken via de instellingen van uw Google-account.
3. Schakel 2FA in : versterk uw accounts waar mogelijk met tweefactorauthenticatie.
4. Wachtwoorden bijwerken : Wijzig wachtwoorden voor accounts die mogelijk zijn blootgesteld.
5. Controleer op ongebruikelijke activiteiten : let op ongeautoriseerde toegang of activiteiten op uw accounts.

Laatste gedachten

Dit incident onderstreept de cruciale noodzaak van waakzaamheid bij het gebruik van browserextensies. Hoewel extensies krachtige tools zijn, vormen ze ook aanzienlijke beveiligingsrisico's als ze worden gecompromitteerd. Zowel ontwikkelaars als gebruikers moeten alert blijven op phishingcampagnes en machtigingen en updates nauwlettend in de gaten houden.

Ook het beoordelingsproces van de Chrome Web Store van Google moet worden aangepast om kwaadaardige activiteiten beter te kunnen detecteren en gebruikers in de toekomst tegen soortgelijke bedreigingen te kunnen beschermen.

Door geïnformeerd en proactief te blijven, kunnen gebruikers helpen de risico's van deze en toekomstige aanvallen te minimaliseren. Laat vertrouwde tools geen toegangspoort worden voor cybercriminelen: onderneem vandaag nog actie om uw gegevens te beschermen.