Nová kampaň cílí na známé rozšíření prohlížeče Chrome, což vedlo k tomu, že bylo kompromitováno nejméně 35 rozšíření, čímž bylo vystaveno více než 2,6 milionu uživatelů riziku úniku dat a krádeže přihlašovacích údajů.
Útok se zaměřil na vydavatele rozšíření prohlížeče v Chrome Web Store prostřednictvím phishingové kampaně a využil jejich přístupová oprávnění k vložení škodlivého kódu do legitimních rozšíření za účelem krádeže cookies a přístupových tokenů uživatelů.
První společností, která upozornila na tuto kampaň, byla kyberbezpečnostní firma Cyberhaven, jejíž zaměstnanec byl 24. prosince 2024 cílem phishingového útoku, což útočníkům umožnilo publikovat škodlivou verzi rozšíření.
- prosince 2024 Cyberhaven zveřejnil, že útočník kompromitoval jejich rozšíření prohlížeče a vložil kód, který komunikoval s externím serverem pro velení a řízení (C&C) umístěným na doméně cyberhavenext[.]pro, stahoval další konfigurační soubory a exfiltroval uživatelská data.
Phishingový e-mail, který se tvářil jako zpráva od Google Chrome Web Store Developer Support, se snažil vyvolat falešný pocit naléhavosti tvrzením, že jejich rozšíření je v bezprostředním riziku odstranění z obchodu s rozšířeními kvůli porušení zásad programu pro vývojáře.
E-mail také naléhal na příjemce, aby klikli na odkaz a přijali zásady, po čemž byli přesměrováni na stránku, kde udělili oprávnění škodlivé aplikaci OAuth s názvem „Privacy Policy Extension“.
„Útočník získal potřebná oprávnění prostřednictvím škodlivé aplikace Privacy Policy Extension a nahrál škodlivé rozšíření Chrome do Chrome Web Store,“ uvedl Cyberhaven v samostatném technickém popisu. „Po obvyklém procesu bezpečnostní kontroly Chrome Web Store bylo škodlivé rozšíření schváleno k publikaci.“
„Rozšíření prohlížeče jsou měkkým podbřiškem webové bezpečnosti,“ říká Or Eshed, generální ředitel LayerX Security, společnosti specializující se na bezpečnost rozšíření prohlížeče. „Ačkoli máme tendenci považovat rozšíření prohlížeče za neškodná, ve skutečnosti jim často udělujeme rozsáhlá oprávnění k citlivým uživatelským informacím, jako jsou cookies, přístupové tokeny, identifikační údaje a další. Mnoho organizací ani neví, jaká rozšíření mají na svých koncových bodech nainstalována, a nejsou si vědomy rozsahu svého vystavení riziku.“
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS
