Взломаны десятки расширений Chrome, более 2,6 миллионов пользователей подверглись краже данных

В результате серьезного нарушения кибербезопасности были скомпрометированы не менее 35 популярных расширений браузера Chrome, что подвергло более 2,6 млн пользователей потенциальной краже данных и сбору учетных данных. Атака была направлена на разработчиков расширений с помощью фишинговой кампании, которая позволяла хакерам внедрять вредоносный код в легитимные расширения, превращая надежные инструменты в угрозы кражи данных.

Как произошло нападение

Нарушение началось с фишингового письма, выдававшего себя за службу поддержки разработчиков Google Chrome Web Store. В письме ложно утверждалось, что целевые расширения находятся под угрозой удаления за нарушение политик, и разработчикам предлагалось перейти по ссылке, чтобы «решить проблему». Эта ссылка предоставляла разрешения вредоносному приложению OAuth под названием «Privacy Policy Extension», предоставляя злоумышленникам доступ к аккаунтам разработчиков.

После получения доступа вредоносный код был загружен в затронутые расширения. Этот код:

• Украдены файлы cookie и токены доступа пользователей .
• Установлено соединение с серверами управления и контроля (C&C) для загрузки дополнительных инструкций.
• Извлеченные пользовательские данные для дальнейшей эксплуатации.

Атака стала известна, когда 24 декабря фирма по кибербезопасности Cyberhaven сообщила, что один из ее сотрудников подвергся атаке. Расширение браузера фирмы было быстро использовано злоумышленниками, но этот инцидент оказался лишь вершиной айсберга.

Полный список взломанных расширений

В ходе более глубокого анализа исследователи выявили следующие скомпрометированные расширения Chrome:

1. Помощник на основе искусственного интеллекта — ChatGPT и Gemini для Chrome
2. Расширение Bard AI Chat
3. Резюме GPT 4 с OpenAI
4. Поиск Copilot AI Assistant для Chrome
5. Помощник ИИ TinaMind
6. Уэйн ИИ
7. VPNГород
8. Internxt VPN
9. Видеорегистратор Vidnoz Flex
10. Загрузчик видео VidHelper
11. Изменить значок закладки
12. Касторус
13. Uvoice
14. Режим чтения
15. Попугай говорит
16. Примус
17. Tackker — онлайн-инструмент для кейлоггера
18. ИИ-приятель по магазинам
19. Сортировать по самым старым
20. Автоматизатор поиска наград
21. ChatGPT Assistant — умный поиск
22. Регистратор истории клавиатуры
23. Охотник за электронными письмами
24. Визуальные эффекты для Google Meet
25. Earny - до 20% кэшбэка
26. Где находится Cookie?
27. Веб-зеркало
28. Приложение ChatGPT
29. Привет, ИИ.
30. Менеджер паролей Web3
31. Помощник YesCaptcha
32. Прокси-коммутатор Omega (V3)
33. Инспектор сети GraphQL
34. ChatGPT для Google Meet
35. Резюме GPT 4 с OpenAI

В этом подробном списке отражены масштабы нарушения, затронувшие расширения, используемые для поддержки искусственного интеллекта, службы VPN, производительность и многое другое.

Раскрыты вредоносные действия

Злоумышленники не просто украли данные. Анализ скомпрометированных расширений показал:

• Нацеливание на идентификационные данные и учетные данные : вредоносный код искал токены доступа и идентификационную информацию, в частности, учетные записи Facebook Ads.
• Мониторинг щелчков мыши : зарегистрированные пользователем коды нажимают на страницы Facebook для захвата QR-кодов, потенциально обходя двухфакторную аутентификацию (2FA) .
• Схемы монетизации : в некоторых случаях разработчики уже включили SDK для сбора данных для монетизации еще до взлома.

Такие расширения, как Visual Effects для Google Meet, использовали библиотеку блокировки рекламы, связанную с Urban VPN, которая скрытно собирала данные пользователей.

Как долго это происходит?

Данные свидетельствуют о том, что эта кампания могла быть активна с 2022 года или ранее. Следователи отследили регистрации доменов, связанных с вредоносной деятельностью, еще в 2021 году. Например:

• Домен nagofsg[.]com был зарегистрирован в августе 2022 года.
• Домен sclpfybn[.]com был зарегистрирован в июле 2021 года.

Текущие риски

Хотя многие скомпрометированные расширения были удалены или обновлены в Chrome Web Store, риск не полностью устранен. Если вредоносная версия расширения все еще активна на устройстве пользователя, она может продолжать красть данные.

«Удаление расширения из Chrome Web Store не приводит к его автоматическому удалению с конечных точек пользователей», — предупреждает Ор Эшед, генеральный директор LayerX Security.

Что вы можете сделать

Вот шаги, которые вы можете предпринять для защиты своих данных:

1. Удалите уязвимые расширения : просмотрите список уязвимых расширений и удалите все установленные вами.
2. Отозвать разрешения : если вы предоставили какие-либо разрешения подозрительным расширениям или приложениям, немедленно отзовите их в настройках своего аккаунта Google.
3. Включите 2FA : по возможности укрепите свои учетные записи с помощью двухфакторной аутентификации.
4. Обновите пароли : измените пароли для учетных записей, которые могли быть раскрыты.
5. Отслеживайте необычную активность : следите за несанкционированным доступом или активностью в ваших учетных записях.

Заключительные мысли

Этот инцидент подчеркивает критическую необходимость бдительности при использовании расширений браузера. Хотя расширения являются мощными инструментами, они также представляют значительные риски безопасности в случае их взлома. Разработчики и пользователи должны быть бдительны к фишинговым кампаниям и тщательно проверять разрешения и обновления.

Процесс проверки интернет-магазина Chrome компании Google также необходимо будет адаптировать, чтобы лучше выявлять вредоносную активность и защищать пользователей от подобных угроз в будущем.

Оставаясь информированными и проактивными, пользователи могут помочь минимизировать риски, связанные с этой и будущими атаками. Не позволяйте надежным инструментам стать воротами для киберпреступников — примите меры для защиты своих данных уже сегодня.