Egy új támadási kampány kompromittált számos Chrome böngésző bővítményt, több mint 500,000 felhasználót téve ki potenciális adatlopásnak és hitelesítő adatok eltulajdonításának.
A támadás adathalász kampányt használt a Chrome Web Store bővítményfejlesztőinek célba vételére. Azáltal, hogy hozzáférést szereztek a fejlesztők fiókjaihoz, a támadók rosszindulatú kódot fecskendeztek be a legitim bővítményekbe, lehetővé téve számukra a sütik és a felhasználói hozzáférési tokenek eltulajdonítását.
A Cyberhaven volt az első áldozat
Az első ismert áldozat a Cyberhaven kiberbiztonsági cég volt, amely olyan eszközt fejlesztett, amely segít a vállalatoknak megakadályozni az alkalmazottak jogosulatlan hozzáférését vállalati információkhoz, például értékesítési adatokat tartalmazó Excel-táblázatok másolásával és beillesztésével.
December 27-én a cég bejelentette, hogy böngészőbővítményét egy fenyegető szereplő kompromittálta, aki rosszindulatú kódot injektált a kiterjesztésbe. Ez a kód egy külső Command and Control (C&C) szerverrel kommunikált, amely a cyberhavenext[.]pro domainen volt elérhető. Az érintett bővítmény további konfigurációs fájlokat töltött le és érzékeny felhasználói adatokat szivárogtatott ki.
Howard Ting, a Cyberhaven vezérigazgatója egy blogbejegyzésben megerősítette, hogy egy “rosszindulatú kibertámadás” történt szenteste. A támadó adathalászati módszerrel becsapott egy Cyberhaven alkalmazottat, majd a megszerzett hitelesítő adatokkal hozzáférést szerzett a cég Chrome Web Store fiókjához. Ebből a pozícióból a hacker feltöltött egy rosszindulatú verziót a Cyberhaven Chrome bővítményéből. Ting elmondása szerint ezt a verziót 60 percen belül eltávolították.
A támadás csak a Chrome-alapú böngészőket érintette, amelyek automatikusan frissültek az érintett időszakban, és a rosszindulatú kód potenciálisan sütiket és hitelesített munkameneteket szivárogtathatott ki bizonyos célzott weboldalak esetében.
A Cyberhaven azt javasolja ügyfeleinek, hogy győződjenek meg róla, hogy bővítményük verziója legalább 24.10.5, forgassák vagy vonják vissza az összes olyan jelszót, amely nem használ FIDOv2-t, és vizsgálják át a naplókat gyanús tevékenységek után kutatva.
Ting hozzátette, hogy “nyilvános jelentések szerint ez a támadás egy szélesebb kampány része volt, amely különböző vállalatok Chrome bővítményfejlesztőit célozta meg.” A Cyberhaven kezdeti megállapításai szerint a támadó különösen a közösségi média hirdetési platformok és mesterséges intelligencia rendszerekhez való bejelentkezéseket célozta.
A támadás szélesebb körű hatásai
A felfedezést követően más, ugyanahhoz a C&C szerverhez kapcsolódó kompromittált bővítményeket is gyorsan azonosítottak.
A The Hacker News szerint Jamie Blasco, a Nudge Security (egy SaaS biztonsági cég) technológiai igazgatója további domaineket azonosított, amelyek ugyanarra a szerverre mutattak, mint amit a Cyberhaven incidensben használtak.
Megerősített vagy gyanítottan kompromittált bővítmények:
- AI Assistant – ChatGPT és Gemini for Chrome
- Bard AI Chat Extension
- GPT 4 Summary with OpenAI
- Search Copilot AI Assistant for Chrome
- TinaMind AI Assistant
- Wayin AI
- VPNCity
- Internxt VPN
- Vindoz Flex Video Recorder
- VidHelper Video Downloader
- Bookmark Favicon Changer
- Castorus
- Uvoice
- Reader Mode
- Parrot Talks
- Primus
Ezek a felfedezések arra utalnak, hogy a Cyberhaven incidenst egy nagyobb, összehangolt kampány részeként hajtották végre, amely legitim böngésző bővítményeket célzott.
Rosszindulatú kód célpontjai: Facebook fiókok
Az érintett Cyberhaven bővítmény elemzése feltárta, hogy a rosszindulatú kód elsősorban a Facebook-fiókok azonosítási adatait és hozzáférési tokenjeit célozta meg, különös tekintettel az üzleti fiókokra.
A Cyberhaven jelentette, hogy a kompromittált bővítményt körülbelül 24 órával a támadás felfedezése után eltávolították a Chrome Web Store-ból. Több más érintett bővítményt szintén frissítettek vagy eltávolítottak.
Biztonsági következmények
Ez a támadási kampány komplexitása és mérete rávilágít arra, hogy mennyire kritikus fontosságú a szervezetek számára a böngésző bővítmények figyelemmel kísérése és biztosítása. Sok szervezet nem rendelkezik rálátással arra, hogy milyen bővítmények vannak telepítve a végpontjaikon, így kiszolgáltatottá válnak az ilyen típusú támadásokkal szemben.
A biztonsági kutatók aktívan vizsgálják a kompromittálás mértékét, de az incidens élesen emlékeztet arra, hogy mekkora kockázatot jelenthetnek a felügyelet nélkül hagyott böngésző bővítmények.