Škodlivá rozšíření pro Chrome kompromitovala data 600 000 uživatelů

V nedávné kampani bylo zneužito 16 známých rozšíření pro prohlížeč Chrome, což vedlo k ohrožení více než 600 000 uživatelů. Útočníci získali přístup k citlivým datům, jako jsou cookies, přístupové tokeny a identifikační údaje.

Útok začal phishingovou kampaní zaměřenou na vývojáře rozšíření v obchodě Chrome Web Store. Pomocí podvodných e-mailů vydávajících se za oficiální podporu od Google získali útočníci přístup k účtům vývojářů a následně nahráli škodlivé verze legitimních rozšíření.

Prvním identifikovaným cílem byla společnost Cyberhaven, jejíž zaměstnanec byl 24. prosince podveden phishingovým e-mailem. Útočníci následně nahráli upravenou verzi rozšíření Cyberhaven, která obsahovala škodlivý kód komunikující s velením a řízením (C&C) na doméně cyberhavenext[.]pro. Tato verze umožnila: stahování dodatečných konfigurací, exfiltraci uživatelských dat s cílem získat identity a přístupové tokeny k účtům na Facebooku.

Phishingová taktika útočníků

Útočníci použili e-maily, které vzbuzovaly pocit naléhavosti. Tvrdili, že rozšíření porušuje pravidla programu pro vývojáře a hrozí jeho odstranění. Odkazy v e-mailech vedly na podvodné stránky, kde uživatelé schválili škodlivé OAuth aplikace.

Rozsah útoku

Po zveřejnění kompromitace Cyberhavenu byly rychle identifikovány další rozšíření komunikující se stejným C&C serverem. Mezi postiženými rozšířeními jsou:

– AI Assistant – ChatGPT and Gemini for Chrome,

– Bard AI Chat Extension,

– VPNCity,

– Bookmark Favicon Changer,

– Rewards Search Automator,

– a mnoho dalších (seznam najdete zde).

Podle společnosti Secure Annex mohla kampaň probíhat od dubna 2023, ne-li déle. Zjištění ukazují na dlouhodobou přípravu útočníků, kteří registrovali podezřelé domény již v roce 2021.

Význam zabezpečení rozšíření

Rozšíření pro prohlížeče jsou často přehlíženou slabinou. Podle CEO společnosti LayerX Security, Ora Esheda, rozšíření často mají přístup k citlivým informacím, včetně cookies a přístupových tokenů. Většina organizací přitom ani netuší, jaká rozšíření jejich zaměstnanci používají.

Doporučení pro ochranu

– Audit instalovaných rozšíření – Zjistěte, jaká rozšíření jsou používána na firemních zařízeních.

– Omezení oprávnění – Neposkytujte rozšířením přístup k více datům, než je nezbytně nutné.

– Včasná aktualizace – Sledujte novinky a aktualizujte rozšíření, aby se předešlo využití známých zranitelností.

– Vzdělávání zaměstnanců – Naučte zaměstnance rozpoznávat phishing.

Tento útok ukazuje rostoucí sofistikovanost kampaní zaměřených na zneužití rozšíření prohlížečů. Organizace by měly přijmout proaktivní opatření k zabezpečení svých IT prostředí a minimalizaci rizik spojených s používáním rozšíření.

Zabezpečení rozšíření je dnes klíčovým prvkem ochrany dat – nejen pro jednotlivce, ale zejména pro organizace spravující citlivé informace.

Zdroj: secureannex.com

Zdroj ilustračního obrázku: Gerd Altmann from Pixabay