СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
21.01.2025
#Dev#ИБ#Инфра

Взлом CyberHaven: угроза вредоносных расширений браузера

Взлом CyberHaven: угроза вредоносных расширений браузера

26 декабря 2024 года произошел инцидент, связанный со взломом CyberHaven, компании по обеспечению безопасности DLP. Этот случай привлек внимание к растущей угрозе, связанной с вредоносными расширениями браузеров, и показал новые методы, используемые киберпреступниками для осуществления атак.

Как произошел взлом

Взлом CyberHaven был инициирован с помощью фишинговой атаки, которая позволила хакерам внедрить вредоносное приложение Google OAuth под названием «Политика конфиденциальности». Это приложение получило доступ к просмотру, изменению и публикации расширений в Chrome Web Store. Хакеры смогли:

  • Опубликовать измененную версию расширения CyberHaven, помеченную как версия 24.10.4;
  • Собрать информацию о ней, идентифицировав ее по хэшу: DDF8C9C72B1B1061221A597168f9BB2C2BA09D38D7B3405E1DACE37AF1587944;
  • Подключиться к IP-адресам, которые ранее использовались в аналогичных вредоносных действиях.

Расследование и выводы

Дальнейшее расследование показало, что IP-адреса, связанные с вредоносным доменом cyberhavenext.pro и его поддоменом api.cyberhavenext.pro, указывали на активность, аналогичную другим взломам расширений Chrome. Эти IP-адреса были связаны с доменами, использующими идентичный вредоносный код.

Структура вредоносного расширения

Расширения Chrome организованы как наборы файлов в иерархическом порядке и упакованы в crx-файл. В случае с троянским расширением CyberHaven основными компонентами были:

  • Содержимое;
  • Фоновые скрипты.

Именно в фоновых скриптах был внедрен новый код, который позволял взаимодействовать с веб-сайтами, посещаемыми жертвами. Скрипт создавал прослушиватель для запуска различных действий на основе текущего URL-адреса.

Методы эксфильтрации данных

Хакеры использовали worker.js для обработки данных, которые извлекались из объекта хранения cyberhavenext_ext_manage. Важными моментами стали:

  • Оценка наличия данных в cyberhavenext_ext_manage;
  • Проверка соответствия текущего URL-адреса конфигурации, закодированной в base64;
  • Получение закодированной конфигурации из серверов хакеров.

Заключение

Появление вредоносных расширений для браузера, о чем свидетельствует этот инцидент, говорит о том, что хакеры адаптируются к новым направлениям атак. Это требует надежных механизмов защиты для эффективного противодействия таким угрозам. Как отметил эксперт в области кибербезопасности, «случай с CyberHaven подчеркивает необходимость постоянного мониторинга и обновления систем безопасности». Эта ситуация еще раз акцентирует внимание на важности защиты данных и необходимости предпринимать активные меры противодействия киберугрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: