Компрометация расширений Chrome: угроза для пользователей и разработчиков
Источник: blog.sekoia.io
26 декабря 2024 года компания Cyberhaven, занимающаяся защитой данных, выпустила предупреждение о компрометации своего расширения для браузера Chrome. Инцидент стал результатом фишинговой атаки, в ходе которой злоумышленник получил доступ к правам разработчика и загрузил вредоносную версию приложения в интернет-магазин Chrome.
Масштаб взлома
Дальнейшие расследования показали, что хакер взломал около десятка расширений Chrome, что потенциально затронуло сотни тысяч конечных пользователей. Вредоносный код был нацелен на сбор конфиденциальных данных, включая:
- API-ключи
- Сессионные файлы cookie
- Токены аутентификации
Среди веб-сайтов, данные с которых пытались собрать, были ChatGPT и Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) для бизнеса.
Методы атаки
Команда аналитиков, осведомлённая о ситуации, смогла восстановить первоначальные фишинговые электронные письма, которые помогли выявить инфраструктуру злоумышленника, активную с 2023 года. С середины ноября 2024 года фишинговые рассылки были нацелены на разработчиков расширений Chrome, что привело к компрометации множества из них.
По данным аналитиков Sekoia, хакер проводил аналогичные кампании в 2023 и 2024 годах, используя такие же методы и инструменты. Последняя атака была зафиксирована до 30 декабря 2024 года.
Технические детали
Злоумышленник обманом получил необходимые разрешения для публикации новых версий расширений, используя фишинговые письма. Он убедил разработчиков предоставить доступ к вредоносному приложению Google OAuth, названному «Расширения политики конфиденциальности». В результате хакер смог развернуть новую версию вредоносного расширения.
Код, внедренный в скомпрометированное расширение GraphQL Network Inspector, был нацелен на передачу данных на сервер C2. Он взаимодействовал с браузером для сбора учетных данных и пользовательских данных, извлекая файлы конфигурации с серверов C2. Хакер использовал фишинговые электронные письма, отправленные через домены, такие как:
- chromeforextension.com
- supportchromestore.com
Эти письма перенаправляли на app.checkpolicy.site, размещенный по IP 136.244.115.219.
Рекомендации для пользователей
Если в браузере Chrome установлено скомпрометированное расширение, пользователям рекомендуется:
- Провести расследование на предмет возможного сбора данных;
- Обновить или удалить расширение;
- Отозвать учетные данные;
- Сменить пароли;
- Отслеживать уязвимые учетные записи;
- Проявлять бдительность в отношении попыток фишинга.
Эта атака по цепочке поставок служит серьёзным напоминанием об опасностях, исходящих от киберпреступников. Организации и пользователи должны сохранять бдительность, чтобы защитить себя от подобных угроз и эффективно снизить потенциальные риски.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
