Ani tie najväčšie a najpopulárnejšie platformy nie sú imúnne voči zákerným hackerom, ktorých spôsoby a nástroje na oklamanie ľudí sú čoraz sofistikovanejšie, a teda aj ťažšie odhaliteľné. Magazín The Hacker News informuje o ďalšom takomto prelomení bezpečnostných systémov, a to konkrétne v súvislosti s prehliadačom Google Chrome.
Úspech hackerov vyvoláva ohromné obavy, nakoľko Chrome dlhodobo vystupuje ako najobľúbenejší internetový prehliadač na svete, a to nielen na počítačoch. Útočníkom sa podarilo realizovať rozsiahly kybernetický útok, ktorý zasiahol viacero rozšírení pre najväčší prehliadač. Krádežou citlivých dát, vrátane prihlasovacích údajov, mal ohroziť približne 600-tisíc používateľov.
Rozšírenia samé o sebe škodlivé nie sú, resp. pôvodne neboli. Hackeri spustili kampaň cieliacu na vydavateľov legitímnych webových rozšírení v rámci Chrome Web Store. Pomocou falošných e-mailov získali prístup k ich účtom a do rozšírení vložili škodlivý kód. Tento kód dokázal kradnúť cookies, prístupové tokeny používateľov a ďalšie citlivé informácie.
Trúfli si aj na „veľkú rybu“
Prvou známou obeťou záškodníckej kampane sa stala spoločnosť Cyberhaven, ktorá sa zaoberá kybernetickou bezpečnosťou. Útočníci 24. decembra kontaktovali jedného z jej zamestnancov prostredníctvom phishingového e-mailu. Na základe tejto správy sa im podarilo infikovať kľúčové rozšírenie.
O tri dni neskôr, čiže 27. decembra, spoločnosť oznámila, že škodlivý kód pridaných do jej rozšírenia komunikoval s externým serverom velenia a vedenia (C&C) na doméne cyberhavennext[.]pro, odkiaľ sťahoval ďalšie konfiguračné súbory a exfiltroval údaje používateľov.
Phishingový e-mail, ktorý údajne pochádzal od „Podpory vývojárov Google Chrome Web Store“, tvrdil, že rozšírenie porušuje pravidlá programu pre vývojárov a je ohrozené odstránením z obchodu. Aby zabránili tomuto kroku, boli príjemcovia vyzvaní, aby klikli na odkaz a potvrdili pravidlá.
Kliknutím sa však dostali na stránku, ktorá udeľovala povolenia škodlivej OAuth aplikácii s názvom Privacy Policy Extension.
Slabý článok webovej bezpečnosti
Or Eshed, generálny riaditeľ spoločnosti LayerX Security, ktorá sa špecializuje na bezpečnosť rozšírení, ozrejmil, že rozšírenia pre internetové prehliadače sú slabým článkom webovej bezpečnosti. Ľudia ich všeobecne považujú za neškodné, čo znamená, že sú im často udeľované rozsiahle povolenia na prístup k citlivým údajom, ako sú cookies, prístupové tokeny a identifikačné údaje. A práve z toho plynie veľké riziko.
Eshed dodal, že mnohé organizácie ani netušia, aké rozšírenia majú nainštalované na svojich zariadeniach, a neuvedomujú si mieru rizika, ktorému sú vystavené.
Jamie Blasco, technický riaditeľ spoločnosti Nudge Security, identifikoval ďalšie domény, ktoré sú spojené s rovnakou IP adresou, akú mal server C&C použitý pri útoku na Cyberhaven. Pokiaľ ide o samotné rozšírenia, infikovaných ich mala byť celá kopa, menovite:
- AI Assistant – ChatGPT and Gemini for Chrome
- Bard AI Chat Extension
- GPT 4 Summary with OpenAI
- Search Copilot AI Assistant for Chrome
- TinaMind AI Assistant
- Wayin AI
- VPNCity
- Internxt VPN
- Vindoz Flex Video Recorder
- VidHelper Video Downloader
- Bookmark Favicon Changer
- Castorus
- Uvoice
- Reader Mode
- Parrot Talks
- Primus
- Tackker – online keylogger tool
- AI Shop Buddy
- Sort by Oldest
- Rewards Search Automator
- ChatGPT Assistant – Smart Search
- Keyboard History Recorder
- Email Hunter
- Visual Effects for Google Meet
- Earny – Up to 20% Cash Back
Podľa Johna Tucknera, zakladateľa Secure Annex, môže táto kampaň trvať už dlhšiu dobu. Poniektorí tvrdia, že odštartovala v apríli 2023, avšak niektoré z domén spojených s útokmi boli zaregistrované už v roku 2021.
Tuckner doplnil, že kód použitý pri útoku na Cyberhaven bol identifikovaný aj v inom rozšírení – Reader Mode – ktoré obsahovalo rovnaké indikátory kompromitácie, vrátane domény sclpfybn[.]com. Táto doména odhalila ďalších sedem kompromitovaných rozšírení.
Jedno z týchto rozšírení, Rewards Search Automator, obsahovalo kód maskovaný ako „funkcia bezpečného prehliadania“, ktorý v skutočnosti exfiltroval údaje. Iné rozšírenia, napríklad Earny – Up to 20% Cash Back, používali podobný škodlivý kód a boli aktualizované naposledy 5. apríla 2023.
O čo útočníkom išlo?
Analýza kompromitovaného rozšírenia Cyberhaven naznačuje, že škodlivý kód sa zameriaval predovšetkým na identifikačné údaje a prístupové tokeny účtov na Facebooku, pričom hlavným cieľom boli používatelia platformy Facebook Ads.
Spoločnosť uviedla, že škodlivá verzia ich rozšírenia bola z obchodu odstránená približne 24 hodín po jej zverejnení. Niektoré ďalšie kompromitované rozšírenia boli tiež aktualizované alebo stiahnuté.
Or Eshed však varuje, že odstránenie z obchodu ešte neznamená, že hrozba pominula. Ak je kompromitovaná verzia stále aktívna na koncovom zariadení, hackeri k nej môžu mať stále prístup a pokračovať v krádeži údajov.
Výskumníci naďalej hľadajú ďalšie kompromitované rozšírenia.
