Zhakowano dziesiątki rozszerzeń Chrome, ponad 2,6 miliona użytkowników narażonych na kradzież danych

W poważnym naruszeniu cyberbezpieczeństwa co najmniej 35 popularnych rozszerzeń przeglądarki Chrome zostało naruszonych, narażając ponad 2,6 miliona użytkowników na potencjalną kradzież danych i zbieranie poświadczeń. Atak był skierowany do twórców rozszerzeń za pomocą kampanii phishingowej, umożliwiając hakerom wstrzykiwanie złośliwego kodu do legalnych rozszerzeń, zmieniając zaufane narzędzia w zagrożenia kradnące dane.

Jak doszło do ataku

Wyciek rozpoczął się od wiadomości e-mail phishingowej podszywającej się pod dział wsparcia programistów Google Chrome Web Store. Wiadomość e-mail fałszywie twierdziła, że rozszerzenia, których dotyczyła awaria, są zagrożone usunięciem z powodu naruszenia zasad i namawiała programistów do kliknięcia łącza w celu „rozwiązania problemu”. To łącze udzielało uprawnień złośliwej aplikacji OAuth o nazwie „Privacy Policy Extension”, dając atakującym dostęp do kont programistów.

Po uzyskaniu dostępu do zainfekowanych rozszerzeń przesłano złośliwy kod. Ten kod:

• Skradziono ciasteczka i tokeny dostępu użytkownika .
• Nawiązano komunikację z serwerami dowodzenia i kontroli (C&C) w celu pobrania dodatkowych instrukcji.
• Wykradziono dane użytkowników w celu dalszego wykorzystania.

Atak wyszedł na jaw, gdy firma zajmująca się cyberbezpieczeństwem Cyberhaven ujawniła, że jeden z jej pracowników padł ofiarą ataku 24 grudnia. Rozszerzenie przeglądarki firmy zostało szybko wykorzystane, ale incydent ten był tylko wierzchołkiem góry lodowej.

Pełna lista zagrożonych rozszerzeń

Gdy śledczy zbadali sprawę dokładniej, zidentyfikowali następujące zagrożone rozszerzenia przeglądarki Chrome:

1. Asystent AI - ChatGPT i Gemini dla Chrome
2. Rozszerzenie czatu Bard AI
3. Podsumowanie GPT 4 z OpenAI
4. Wyszukaj asystenta Copilot AI dla Chrome
5. Asystent AI TinaMind
6. Sztuczna inteligencja Wayina
7. VPNMiasto
8. Internxt VPN
9. Rejestrator wideo Vidnoz Flex
10. Program do pobierania filmów VidHelper
11. Zakładka Favicon Changer
12. Kastor
13. Głos
14. Tryb czytelnika
15. Papuga mówi
16. Prymus
17. Tackker – narzędzie do rejestrowania Keyloggerów online
18. Kumpel ze sklepu AI
19. Sortuj według Najstarszych
20. Automatyzator wyszukiwania nagród
21. Asystent ChatGPT — inteligentne wyszukiwanie
22. Rejestrator historii klawiatury
23. E-mail Hunter
24. Efekty wizualne dla Google Meet
25. Earny - do 20% zwrotu gotówki
26. Gdzie jest Cookie?
27. Lustro internetowe
28. Aplikacja ChatGPT
29. Cześć AI
30. Menedżer Web3Password
31. Asystent TakCaptcha
32. Serwer proxy SwitchyOmega (V3)
33. Inspektor sieci GraphQL
34. ChatGPT dla Google Meet
35. Podsumowanie GPT 4 z OpenAI

Ta kompleksowa lista podkreśla skalę naruszenia, które dotyczy rozszerzeń służących do wspomagania sztuczną inteligencją, usług VPN, zwiększania produktywności i nie tylko.

Odkryto złośliwe działania

Atakujący zrobili coś więcej niż tylko ukradli dane. Analiza naruszonych rozszerzeń ujawniła:

• Ataki na tożsamość i dane uwierzytelniające : Złośliwy kod miał na celu zdobycie tokenów dostępu i informacji o tożsamości, w szczególności kont reklamowych na Facebooku.
• Monitorowanie kliknięć myszką : Zarejestrowani użytkownicy klikają na stronach Facebooka, aby przechwycić kody QR, potencjalnie omijając uwierzytelnianie dwuskładnikowe (2FA) .
• Schematy monetyzacji : W niektórych przypadkach programiści uwzględniali już zestawy SDK do zbierania danych w celu monetyzacji przed naruszeniem bezpieczeństwa.

Rozszerzenia takie jak Visual Effects dla Google Meet korzystały z biblioteki blokującej reklamy połączonej z Urban VPN, która potajemnie zbierała dane użytkownika.

Od jak dawna to się dzieje?

Dowody sugerują, że ta kampania mogła być aktywna od 2022 r. lub wcześniej. Śledczy wyśledzili rejestracje domen powiązane ze złośliwą aktywnością aż do 2021 r. Na przykład:

• Domena nagofsg[.]com została zarejestrowana w sierpniu 2022 r.
• Domena sclpfybn[.]com została zarejestrowana w lipcu 2021 r.

Trwające ryzyka

Chociaż wiele zagrożonych rozszerzeń zostało usuniętych lub zaktualizowanych w Chrome Web Store, ryzyko nie zostało w pełni ograniczone. Jeśli złośliwa wersja rozszerzenia jest nadal aktywna na urządzeniu użytkownika, może kontynuować kradzież danych.

„Usunięcie rozszerzenia ze sklepu Chrome Web Store nie powoduje automatycznego usunięcia go z punktów końcowych użytkowników” – ostrzega Or Eshed, dyrektor generalny LayerX Security.

Co możesz zrobić

Oto kroki, które możesz podjąć, aby chronić swoje dane:

1. Odinstaluj zagrożone rozszerzenia : Przejrzyj listę zagrożonych rozszerzeń i usuń wszystkie zainstalowane.
2. Cofnij uprawnienia : Jeśli udzieliłeś uprawnień podejrzanym rozszerzeniom lub aplikacjom, natychmiast je cofnij w ustawieniach konta Google.
3. Włącz 2FA : Wzmocnij swoje konta, stosując uwierzytelnianie dwuskładnikowe, gdziekolwiek jest to możliwe.
4. Aktualizacja haseł : Zmień hasła do kont, które mogły zostać ujawnione.
5. Monitoruj nietypową aktywność : Uważaj na nieautoryzowany dostęp lub aktywność na swoich kontach.

Ostatnie przemyślenia

Ten incydent podkreśla krytyczną potrzebę czujności podczas korzystania z rozszerzeń przeglądarki. Chociaż rozszerzenia są potężnymi narzędziami, stanowią również poważne zagrożenie bezpieczeństwa, jeśli zostaną naruszone. Zarówno programiści, jak i użytkownicy muszą zachować czujność w przypadku kampanii phishingowych i dokładnie sprawdzać uprawnienia i aktualizacje.

Proces weryfikacji sklepu internetowego Chrome Web Store firmy Google będzie musiał zostać dostosowany, aby lepiej wykrywać złośliwą aktywność i chronić użytkowników przed podobnymi zagrożeniami w przyszłości.

Dzięki informowaniu i proaktywności użytkownicy mogą pomóc zminimalizować ryzyko związane z tym i przyszłymi atakami. Nie pozwól, aby zaufane narzędzia stały się bramą dla cyberprzestępców — podejmij działania, aby zabezpieczyć swoje dane już dziś.