Incidentul evidențiază riscurile de securitate adesea trecute cu vederea, asociate cu extensiile de browser
Ce tocmai sa întâmplat? Cercetătorii în domeniul securității cibernetice au descoperit un atac pe scară largă care vizează extensiile de browser din Magazinul web Chrome în timpul sezonului de vacanță. Campania a afectat cel puțin 33 de extensii și a potențial compromis date de la aproximativ 2,6 milioane de dispozitive. Încălcarea a ieșit la iveală atunci când Cyberhaven, un serviciu de prevenire a pierderii datelor, a identificat cod rău intenționat încorporat într-una dintre propriile extensii.
Atacul, care a început în Ajunul Crăciunului, a exploatat o vulnerabilitate în sistemul de autentificare pentru dezvoltatori din Chrome Web Store. Atacatorii au folosit tehnici sofisticate de phishing pentru a obține acces la conturile dezvoltatorilor de extensii, permițându-le să încarce versiuni rău intenționate ale extensiilor populare.
Extensia Cyberhaven, concepută pentru a împiedica utilizatorii să introducă din neatenție date sensibile în e-mailuri sau site-uri web, a fost una dintre primele care a fost compromisă. „Echipa noastră a confirmat un atac cibernetic rău intenționat care a avut loc în Ajunul Crăciunului, care a afectat extensia Chrome a Cyberhaven”, a declarat compania. „Rapoartele publice sugerează că acest atac a făcut parte dintr-o campanie mai largă care vizează dezvoltatorii de extensii Chrome dintr-o gamă largă de companii.”
Versiunea compromisă a extensiei Cyberhaven, versiunea 24.10.4, a fost disponibilă timp de 31 de ore, din 25 decembrie până în 26 decembrie. În această perioadă, browserele Chrome cu Cyberhaven instalat descărcau și executau automat codul rău intenționat. Analiza extensiei a arătat că a fost concepută pentru a interacționa cu diferite încărcături utile care au fost descărcate de pe un site rău intenționat care imită domeniul oficial al Cyberhaven.
S-a raportat încălcarea Cyberhaven. Angajat a făcut phishing și a trimis o extensie Chrome rău intenționată.
Comandă și control:
149.28.124.84
cyberhavenext(.)proFile hash-uri:
content.js AC5CC8BCC05AC27A8F189134C2E3300863B317FBworker.js 0B871BDEE9D8302A48D6D6511228CAF67A08EC60
– Christopher Stanley (@cstanley) 26 decembrie 2024
Pe măsură ce cercetătorii au aprofundat atacul, au descoperit că acesta s-a extins cu mult dincolo de Cyberhaven. John Tuckner, fondatorul Secure Annex, o firmă de analiză și gestionare a extensiilor de browser, a raportat că cel puțin alte 19 extensii Chrome au fost compromise în mod similar. Atacatorii au folosit aceeași campanie de spear-phishing și au folosit domenii personalizate asemănătoare pentru a emite încărcături utile și pentru a colecta acreditări de autentificare.
Impactul colectiv al acestor extensii compromise este uluitor, cu aproximativ 1,46 milioane de descărcări în cele 20 de extensii afectate. Nici acest atac nu este un incident izolat. O campanie similară a vizat atât extensiile Chrome, cât și Firefox în 2019, compromițând patru milioane de dispozitive, inclusiv pe cele din rețelele unor companii importante precum Tesla, Blue Origin și Symantec.
Investigațiile ulterioare au relevat o tendință și mai alarmantă. Una dintre extensiile compromise, Modul Reader, făcuse parte dintr-o campanie separată care datează cel puțin din aprilie 2023. Acest compromis anterior era legat de o bibliotecă de coduri de monetizare care colecta date detaliate la fiecare vizită web pe care o face un browser. Tuckner a identificat 13 extensii Chrome, cu un total de 1,14 milioane de instalări, care au folosit această bibliotecă pentru a colecta date potențial sensibile.
Incidentul a stârnit discuții despre cum să securizeze mai bine extensiile de browser. Tuckner sugerează o soluție potențială: organizațiile ar putea implementa o listă de gestionare a activelor browserului, permițând rularea numai extensiilor selectate, blocând toate celelalte.