fbpx

FIGYELMEZTETÉS: Több Google Chrome-bővítmény is feltörtek!

Egy új támadási kampány kompromittált számos Chrome böngésző bővítményt, több mint 500,000 felhasználót téve ki potenciális adatlopásnak és hitelesítő adatok eltulajdonításának.

A támadás adathalász kampányt használt a Chrome Web Store bővítményfejlesztőinek célba vételére. Azáltal, hogy hozzáférést szereztek a fejlesztők fiókjaihoz, a támadók rosszindulatú kódot fecskendeztek be a legitim bővítményekbe, lehetővé téve számukra a sütik és a felhasználói hozzáférési tokenek eltulajdonítását.

A Cyberhaven volt az első áldozat

Az első ismert áldozat a Cyberhaven kiberbiztonsági cég volt, amely olyan eszközt fejlesztett, amely segít a vállalatoknak megakadályozni az alkalmazottak jogosulatlan hozzáférését vállalati információkhoz, például értékesítési adatokat tartalmazó Excel-táblázatok másolásával és beillesztésével.

December 27-én a cég bejelentette, hogy böngészőbővítményét egy fenyegető szereplő kompromittálta, aki rosszindulatú kódot injektált a kiterjesztésbe. Ez a kód egy külső Command and Control (C&C) szerverrel kommunikált, amely a cyberhavenext[.]pro domainen volt elérhető. Az érintett bővítmény további konfigurációs fájlokat töltött le és érzékeny felhasználói adatokat szivárogtatott ki.

Howard Ting, a Cyberhaven vezérigazgatója egy blogbejegyzésben megerősítette, hogy egy “rosszindulatú kibertámadás” történt szenteste. A támadó adathalászati módszerrel becsapott egy Cyberhaven alkalmazottat, majd a megszerzett hitelesítő adatokkal hozzáférést szerzett a cég Chrome Web Store fiókjához. Ebből a pozícióból a hacker feltöltött egy rosszindulatú verziót a Cyberhaven Chrome bővítményéből. Ting elmondása szerint ezt a verziót 60 percen belül eltávolították.

A támadás csak a Chrome-alapú böngészőket érintette, amelyek automatikusan frissültek az érintett időszakban, és a rosszindulatú kód potenciálisan sütiket és hitelesített munkameneteket szivárogtathatott ki bizonyos célzott weboldalak esetében.

A Cyberhaven azt javasolja ügyfeleinek, hogy győződjenek meg róla, hogy bővítményük verziója legalább 24.10.5, forgassák vagy vonják vissza az összes olyan jelszót, amely nem használ FIDOv2-t, és vizsgálják át a naplókat gyanús tevékenységek után kutatva.

Ting hozzátette, hogy “nyilvános jelentések szerint ez a támadás egy szélesebb kampány része volt, amely különböző vállalatok Chrome bővítményfejlesztőit célozta meg.” A Cyberhaven kezdeti megállapításai szerint a támadó különösen a közösségi média hirdetési platformok és mesterséges intelligencia rendszerekhez való bejelentkezéseket célozta.

A támadás szélesebb körű hatásai

A felfedezést követően más, ugyanahhoz a C&C szerverhez kapcsolódó kompromittált bővítményeket is gyorsan azonosítottak.

The Hacker News szerint Jamie Blasco, a Nudge Security (egy SaaS biztonsági cég) technológiai igazgatója további domaineket azonosított, amelyek ugyanarra a szerverre mutattak, mint amit a Cyberhaven incidensben használtak.

Megerősített vagy gyanítottan kompromittált bővítmények:

  • AI Assistant – ChatGPT és Gemini for Chrome
  • Bard AI Chat Extension
  • GPT 4 Summary with OpenAI
  • Search Copilot AI Assistant for Chrome
  • TinaMind AI Assistant
  • Wayin AI
  • VPNCity
  • Internxt VPN
  • Vindoz Flex Video Recorder
  • VidHelper Video Downloader
  • Bookmark Favicon Changer
  • Castorus
  • Uvoice
  • Reader Mode
  • Parrot Talks
  • Primus

Ezek a felfedezések arra utalnak, hogy a Cyberhaven incidenst egy nagyobb, összehangolt kampány részeként hajtották végre, amely legitim böngésző bővítményeket célzott.

Rosszindulatú kód célpontjai: Facebook fiókok

Az érintett Cyberhaven bővítmény elemzése feltárta, hogy a rosszindulatú kód elsősorban a Facebook-fiókok azonosítási adatait és hozzáférési tokenjeit célozta meg, különös tekintettel az üzleti fiókokra.

A Cyberhaven jelentette, hogy a kompromittált bővítményt körülbelül 24 órával a támadás felfedezése után eltávolították a Chrome Web Store-ból. Több más érintett bővítményt szintén frissítettek vagy eltávolítottak.

Biztonsági következmények

Ez a támadási kampány komplexitása és mérete rávilágít arra, hogy mennyire kritikus fontosságú a szervezetek számára a böngésző bővítmények figyelemmel kísérése és biztosítása. Sok szervezet nem rendelkezik rálátással arra, hogy milyen bővítmények vannak telepítve a végpontjaikon, így kiszolgáltatottá válnak az ilyen típusú támadásokkal szemben.

A biztonsági kutatók aktívan vizsgálják a kompromittálás mértékét, de az incidens élesen emlékeztet arra, hogy mekkora kockázatot jelenthetnek a felügyelet nélkül hagyott böngésző bővítmények.

Az oldal tartalma nem másolható!