Најмалку 16 екстензии на "Chrome" се компромитирани при фишинг напади против издавачи на екстензии на веб-прелистувачот во Веб-продавницата на "Chrome". Затоа, податоците на повеќе од 600.000 корисници на овие екстензии се изложени на ризик.
Напаѓачите ги искористија дозволите за пристап на издавачите на екстензии за да внесат злонамерен код во легитимни екстензии за да украдат колачиња и токени за пристап на корисници.
Првата жртва на кампањата е фирмата за сајбер безбедност "Cyberhaven', чиј вработен бил жртва на фишинг напад на 24 декември, што им овозможи на напаѓачите да објават злонамерна верзија на екстензијата на 27 декември.
"Cyberhaven" откри дека хакерите ја загрозиле нивната екстензија и инјектирале злонамерен код кој комуницира со серверот за команди и контрола (C&C) лоциран на доменот "cyberhavenext[.]pro", од каде што презема конфигурациски датотеки и ги ексфилтрира корисничките податоци.
Фишинг мејлот, кој наводно е испратен од Поддршката за програмери на веб-продавницата на "Google Chrome", е напишан за да создаде чувство на итност со тврдењето дека екстензијата може да се отстрани од продавницата, поради наводно прекршување на Правилата за програми за програмери.
Од примачот се бара да кликне на линкот за да ги прифати правилата, по што се пренасочува на страница каде што треба да дозволи злонамерна апликација наречена „Privacy Policy Extension“. Откако напаѓачите ги добиле потребните дозволи и ја поставиле својата верзија на екстензијата на "Chrome" на веб-продавницата, бил спроведен нормалниот процес на прегледување на веб-продавницата на "Chrome" и екстензијата била одобрена за објавување.
Покрај екстензијата "Cyberhaven", идентификувани се и други екстензии кои исто така биле компромитирани и комуницирале со истиот C&C сервер.
Станува збор за следните екстензии: "AI Assistant – ChatGPT" и "Gemini" за "Chrome", "Bard AI Chat Extension", "GPT 4 Summary with OpenAI", "Search Copilot AI Assistant" за "Chrome", "TinaMINd AI Assistant", "Wayin AI", "VPNCity", "Internxt VPN," "Windows Flex video recorder", "VidHelper Video Downloader", "Bookmark Favicon Changer", "Castorus", "Uvoice", "Reader Mode", "Parrot Talks", "Primus, Tackker", "AI Shop Buddy", "Sort by Oldest", "Rewards Search Automator", "ChatGPT Assistant – Smart search", "Keyboard History Recorder", "Email Hunter", "Visual Effects for Google Meet i Earny - Up to 20% Cash Back".
Постои можност кампањата да започнала на 5 април 2023 година, а можеби и порано врз основа на датумите на регистрација на користените домени: "nagofsg[.]com" е регистрирана во август 2022 година и "sclpfybn[.]com" е регистрирана во јули 2021 година.
Анализата на загрозената екстензија "Cyberhaven" откри дека злонамерниот код ги таргетирал информациите за идентитетот и токените за пристап на профилите на "Facebook", особено бизнис профилите на "Facebook".
"Cyberhaven" соопшти дека злонамерната верзија на екстензијата била отстранета 24 часа по нејзиното објавување. Некои други компромитирани екстензии, исто така, веќе се ажурирани или отстранети од веб-продавницата на "Chrome".
Меѓутоа, само затоа што екстензијата е отстранета од веб-продавницата на "Chrome", не значи дека опасноста е завршена. Сè додека компромитираната верзија на екстензијата е сè уште активна на уредот, хакерите сè уште можат да пристапат до неа и да ги ексфилтрираат корисничките податоци.
Потрагата по други компромитирани екстензии сè уште е во тек. Засега не е јасно кој стои зад кампањата и дали овие инциденти се поврзани.
По веста дека најмалку 16 екстензии на "Chrome" се компромитирани, безбедносната платформа за екстензии "Secure Annex" објави дека до денес се компромитирани најмалку 25 екстензии на "Chrome" со вкупно 2.291.000 корисници. Некои од засегнатите екстензии се популарните "Visual Effects" за "Google Meet", "Reader Mode", "Email Hunter", "Bard AI chat" и "Rewards Search Automator".
