Viac ako 600‑tisíc používateľov prehliadača Google Chrome mohlo prísť o citlivé údaje po tom, čo útočníci kompromitovali sériu pôvodne legitímnych rozšírení. Bezpečnostní experti upozorňujú, že škodlivý kód umožňoval kradnúť cookies, prístupové tokeny aj prihlasovacie údaje, pričom podľa dostupných zistení sa útočníci zameriavali najmä na účty na Facebooku vrátane používateľov služby Facebook Ads.
Na prípad upozornil magazín The Hacker News, ktorý opísal rozsiahlu kampaň zameranú na vývojárov rozšírení v Chrome Web Store. Útočníci ich oslovovali falošnými e‑mailmi, aby získali prístup k ich účtom a do existujúcich rozšírení následne doplnili škodlivý kód. Keďže Chrome je stále najpoužívanejší prehliadač na svete, úspech tejto kampane vyvolal výrazné znepokojenie.
Phishing na vývojárov a falošná podpora
Prvou verejne známou obeťou sa stala spoločnosť Cyberhaven, ktorá sa venuje kybernetickej bezpečnosti. Útočníci 24. decembra kontaktovali jedného z jej zamestnancov e‑mailom, ktorý sa tváril ako správa od „Podpory vývojárov Google Chrome Web Store“. V správe bolo uvedené, že rozšírenie porušuje pravidlá programu a hrozí mu odstránenie, pričom adresát mal kliknutím na odkaz potvrdiť súhlas s podmienkami.
Odkaz však viedol na stránku, ktorá používateľa naviedla k udeleniu oprávnení škodlivej OAuth aplikácii s názvom Privacy Policy Extension. Prostredníctvom týchto oprávnení získali útočníci prístup k účtu vývojára a mohli do rozšírenia Cyberhavenu vložiť škodlivý kód. Ten následne komunikoval so serverom velenia a riadenia na doméne cyberhavennext[.]pro, odkiaľ sťahoval ďalšie konfiguračné súbory a zároveň odosielal ukradnuté dáta používateľov.
Prečítajte si tiež
Dlhodobá kampaň a desiatky rozšírení
Bezpečnostný odborník Or Eshed zo spoločnosti LayerX Security pripomenul, že rozšírenia prehliadačov predstavujú slabé miesto webovej bezpečnosti. Používatelia ich zvyčajne vnímajú ako neškodné nástroje, a preto im často udelia široké oprávnenia na prístup ku cookies, tokenom či ďalším identifikačným údajom. Mnohé organizácie ani netušia, aké rozšírenia majú ich zamestnanci nainštalované, čo výrazne zvyšuje riziko zneužitia.
Jamie Blasco zo spoločnosti Nudge Security identifikoval viacero domén prepojených na rovnakú IP adresu, akú používal server pri útoku na Cyberhaven. Analýza ukázala, že kompromitovaných bolo množstvo rozšírení, medzi nimi AI Assistant – ChatGPT and Gemini for Chrome, Bard AI Chat Extension, GPT 4 Summary with OpenAI, Search Copilot AI Assistant for Chrome, TinaMind AI Assistant, Wayin AI, VPNCity, Internxt VPN, Vindoz Flex Video Recorder, VidHelper Video Downloader či Bookmark Favicon Changer.
V zozname ďalej figurujú rozšírenia Castorus, Uvoice, Reader Mode, Parrot Talks, Primus, Tackker – online keylogger tool, AI Shop Buddy, Sort by Oldest, Rewards Search Automator, ChatGPT Assistant – Smart Search, Keyboard History Recorder, Email Hunter, Visual Effects for Google Meet a Earny – Up to 20% Cash Back. Podľa Johna Tucknera zo Secure Annex môže byť kampaň aktívna už dlhšie, niektoré zdroje hovoria o začiatku v apríli 2023, pričom prepojené domény boli registrované už v roku 2021.
Zameranie na Facebook Ads
Tuckner vysvetlil, že rovnaký škodlivý kód, aký bol použitý v rozšírení Cyberhaven, sa našiel aj v doplnku Reader Mode. Obsahoval rovnaké indikátory kompromitácie vrátane domény sclpfybn[.]com, ktorá viedla k odhaleniu ďalších siedmich napadnutých rozšírení. V rozšírení Rewards Search Automator bol napríklad kód zamaskovaný ako „funkcia bezpečného prehliadania“, v skutočnosti však slúžil na odosielanie citlivých informácií útočníkom.
Podobný mechanizmus použilo aj rozšírenie Earny – Up to 20% Cash Back, ktoré bolo naposledy aktualizované 5. apríla 2023. Rozbor kompromitovaného doplnku Cyberhaven ukázal, že útočníci sa primárne zameriavali na identifikačné údaje a prístupové tokeny pre účty na Facebooku, s dôrazom na používateľov služby Facebook Ads. Samotná spoločnosť Cyberhaven uviedla, že škodlivá verzia jej rozšírenia bola z obchodu odstránená približne po 24 hodinách, pričom viaceré ďalšie napadnuté doplnky boli medzitým aktualizované alebo stiahnuté.
Or Eshed však upozorňuje, že odobratie rozšírenia z Chrome Web Store automaticky neznamená koniec hrozby. Ak má používateľ kompromitovanú verziu stále nainštalovanú, útočníci môžu mať naďalej prístup k jeho údajom. Výskumníci preto pokračujú v analýze a snažia sa identifikovať ďalšie potenciálne napadnuté rozšírenia, zatiaľ čo odborníci vyzývajú používateľov aj firmy, aby si dôkladne preverili, čo majú v prehliadačoch nainštalované a aké oprávnenia jednotlivým doplnkom udelili.
