Viac než 600‑tisíc používateľov Google Chrome mohlo prísť o citlivé informácie po tom, čo útočníci prenikli do viacerých pôvodne dôveryhodných rozšírení. Bezpečnostné tímy potvrdili, že škodlivý kód zbieral cookies, prístupové tokeny aj prihlasovacie údaje, pričom útočníci sa zameriavali najmä na účty Facebooku vrátane používateľov služby Facebook Ads.
Ako útočníci získali prístup
Na kampaň upozornil magazín The Hacker News. Podľa jeho zistení útočníci cielili na vývojárov rozšírení v Chrome Web Store, ktorých kontaktovali podvodnými e‑mailami. Správy sa tvárili ako oficiálna komunikácia podpory pre vývojárov a tvrdili, že konkrétne rozšírenie údajne porušuje pravidlá. Priložený odkaz však presmeroval na stránku, ktorá používateľa prinútila udeliť prístup škodlivej OAuth aplikácii menom Privacy Policy Extension.
Prvou známou obeťou bola spoločnosť Cyberhaven. Jeden z jej zamestnancov 24. decembra podvodné oprávnenia omylom udelil, čo útočníkom umožnilo získať kontrolu nad vývojárskym účtom a vložiť do rozšírenia novú verziu s malvérom. Infikované rozšírenie následne komunikovalo so serverom na doméne cyberhavennext[.]pro, sťahovalo ďalšie inštrukcie a odosielalo zozbierané údaje.
Široký rozsah kampane
Podľa odborníkov z LayerX Security sa rozšírenia prehliadačov stávajú čoraz častejším cieľom útočníkov. Používatelia im bežne povoľujú prístup ku cookies či tokenom, čo výrazne zvyšuje škodlivý potenciál. Spoločnosti často ani netušia, čo majú ich zamestnanci nainštalované, hoci aj jedno narušené rozšírenie môže ohroziť firemné účty.
Analýza Jamieho Blasca z Nudge Security ukázala, že za útokom stálo viacero prepojených domén. Kompromitovaných bolo mnoho populárnych doplnkov, napríklad AI Assistant – ChatGPT and Gemini for Chrome, Bard AI Chat Extension, GPT 4 Summary with OpenAI, Search Copilot AI Assistant, TinaMind AI Assistant, Wayin AI, VPNCity, Internxt VPN, VidHelper Video Downloader či Bookmark Favicon Changer.
V zoznamoch výskumníkov sa objavili aj ďalšie názvy, napríklad Castorus, Reader Mode, Parrot Talks, Primus, Tackker – online keylogger tool, AI Shop Buddy, Sort by Oldest, Rewards Search Automator, Keyboard History Recorder, Email Hunter, Visual Effects for Google Meet a Earny – Up to 20% Cash Back. Odborníci upozorňujú, že kampaň môže fungovať už od roku 2023 a niektoré domény vznikli ešte skôr.
Cieľom boli účty Facebook Ads
John Tuckner zo Secure Annex pripomenul, že rovnaký malvér, aký bol vložený do rozšírenia Cyberhaven, sa našiel aj v doplnku Reader Mode. Ten obsahoval rovnaké indikátory kompromitácie vrátane domény sclpfybn[.]com. Pri ďalšom rozbore sa podarilo odhaliť ďalšie napadnuté rozšírenia, pričom v niektorých bol škodlivý kód zamaskovaný ako bezpečnostná funkcia.
Prípad rozšírenia Earny – Up to 20% Cash Back ukázal, že útok mohol prebiehať dlhodobo. Posledná aktualizácia tohto doplnku prebehla ešte 5. apríla 2023. Vyšetrovanie Cyberhavenu potvrdilo, že útočníci zhromažďovali predovšetkým údaje súvisiace s účtami Facebooku, najmä prístupové tokeny k službe Facebook Ads. Napadnuté verzie viacerých rozšírení boli medzičasom odstránené alebo aktualizované, no riziko pre používateľov tým nekončí.
Bezpečnostní experti upozorňujú, že ak má niekto starú kompromitovanú verziu stále nainštalovanú, môže útočníkom naďalej poskytovať prístup k svojim účtom. Odporúčajú preto skontrolovať zoznam rozšírení, zamerať sa na povolenia, ktoré rozšírenia požadujú, a odstrániť všetky podozrivé doplnky, kým bude analýza prípadu pokračovať.
