Hakovano 16 ekstenzija za Chrome, ugroženi podaci 600.000 korisnika

Vesti, 30.12.2024, 10:30 AM

Najmanje 16 ekstenzija za Chrome kompromitovano je u phishing napadima na izdavače ekstenzija za veb pregledač u Chrome Web Store. Time su ugroženi podaci više od 600.000 korisnika ovih ekstenzija.

Napadači su iskoristili dozvole za pristup izdavača ekstenzija da ubace zlonamerni kod u legitimne ekstenzije kako bi ukrali kolačiće i tokene za pristup korisnika.

Prva žrtva kampanje je firma za sajber bezbednost Cyberhaven, čiji je zaposleni bio žrtva phishing napada 24. decembra, što je omogućilo napadačima da objave zlonamernu verziju ekstenzije. 27. decembra, Cyberhaven je otkrio da su hakeri kompromitovali njihovu ekstenziju i ubacili zlonamerni kod koji komunicira sa serverom za komandu i kontrolu (C&C) koji se nalazi na domenu cyberhavenext[.]pro, odakle preuzima konfiguracione fajlove i eksfiltrira podatke korisnika.

Phishing imejl, koji navodno šalje podrška za programere Google Chrome veb prodavnice, napisan je tako da stvori osećaj hitnosti tvrdnjom da bi ekstenzija mogla biti uklonjena iz prodavnice, zbog navodnog kršenja smernica programa za programere (Developer Program Policies). Primalac se poziva da klikne na link kako bi prihvatio smernice, nakon čega se preusmerava na stranicu gde treba da da dozvole zlonamernoj aplikaciji pod nazivom „Privacy Policy Extension“. Kada su napadači dobili potrebne dozvole i postavili svoju verziju ekstenzije za Chrome u Chrome veb prodavnicu, sproveden je uobičajeni proces pregleda Chrome veb prodavnice, i odobreno objavljivanje ekstenzije.

Osim ekstenzije Cyberhavena, identifikovane su i druge ekstenzije koje su takođe kompromitovane i koje su komunicirale sa istim C&C serverom. Reč je o sledećim ekstenzijama: AI Assistant - ChatGPT and Gemini for Chrome, Bard AI Chat Extension, GPT 4 Summary with OpenAI, Search Copilot AI Assistant for Chrome, TinaMInd AI Assistant, Wayin AI, VPNCity, Internxt VPN, Vindoz Flex Video Recorder, VidHelper Video Downloader, Bookmark Favicon Changer, Castorus, Uvoice, Reader Mode, Parrot Talks, Primus, Tackker - online keylogger tool, AI Shop Buddy, Sort by Oldest, Rewards Search Automator, ChatGPT Assistant - Smart Search, Keyboard History Recorder, Email Hunter, Visual Effects for Google Meet i Earny - Up to 20% Cash Back.

Postoji mogućnost da je kampanja počela 5. aprila 2023., a verovatno i ranije na osnovu datuma registracije domena koji se koriste: nagofsg[.]com je registrovan u avgustu 2022. a sclpfybn[.]com je registrovan u julu 2021.

Analiza kompromitovane ekstenzije Cyberhavena otkrila je da je zlonamerni kod ciljao podatke o identitetu i pristupne tokene Facebook naloga, a posebno Facebook poslovnih naloga.

Cyberhaven je rekao da je zlonamerna verzija ekstenzije uklonjena 24 sata nakon što je objavljena. Neke druge kompromitovane ekstenzije su takođe već ažurirane ili uklonjene iz Chrome veb prodavnice.

Međutim, to što je ekstenzija uklonjena iz Chrome veb prodavnice ne znači da je opasnost prošla. Sve dok je kompromitovana verzija ekstenzije i dalje aktivna na uređaju, hakeri i dalje mogu da joj pristupe i eksfiltriraju podatke korisnika.

Potraga za drugim kompromitovanim ekstenzijama i dalje traje. U ovom trenutku nije jasno ko stoji iza kampanje i da li su ovi incidenti povezani.

Dopuna vesti: Posle vesti da je kompromitovano najmanje 16 ekstenzija za Chrome, platforma za bezbednost ekstenzija Secure Annex je objavila da je do danas kompromitovano najmanje 25 ekstenzija za Chrome sa ukupno 2.291.000 korisnika. Neke od pogođenih ekstenzija su popularne ekstenzije Visual Effects for Google Meet, Reader Mode, Email Hunter, Bard AI chat i Rewards Search Automator.

Kompletnu listu kompromitovanih ekstenzija možete naći ovde.