Żyjemy w czasach cyberataków i wynikających z nich zagrożeń. Ofiarą cyberprzestępców padają między innymi klienci instytucji bankowych, ale to nie jedyny sposób, by ukraść czasem nawet spore pieniądze lub dane. Cyberataki nie omijają nawet przeglądarek internetowych. W okresie świątecznym odkryto wzmożone ataki wymierzone w rozszerzenia do Google Chrome.
Niebezpieczne dodatki do Google Chrome nie są niczym nowym, a hakerzy niejednokrotnie przygotowywali spreparowane narzędzia, których celem była kradzież danych użytkowników np. związanych z bankowością. Takim przykładem są cyberprzestępcy z Korei Północnej odpowiedzialni z aplikację do Chrome zbierającą adresy e-mailowe oraz dane niezbędne do logowania. Tym razem jednak sytuacja jest o wiele poważniejsza, ponieważ potencjalnie obejmuje kilka milionów urządzeń.
Cyberatak wymierzony w rozszerzenia Google Chrome
Badacze cyberbezpieczeństwa odkryli duży atak phishingowy wymierzony w rozszerzenia dostępne w Chrome Web Store, który miał miejsce podczas świąt Bożego Narodzenia. Kampania dotyczyła ponad 30 dodatków, a zagrożonych było około 2,6 miliona urządzeń. Atak, który rozpoczął się w Wigilię, wykorzystał lukę w systemie uwierzytelniania programistów w Chrome Web Store. Atakujący użyli wyrafinowanych technik spear-phishingu, aby uzyskać dostęp do kont programistów, co pozwoliło im udostępnić złośliwe wersje różnych dodatków do Chrome.
Ponad 30 dodatków do Chrome dostępnych w Chrome Web Store zostało zainfekowanych przez cyberprzestępców, którzy w ten sposób wykradli dane użytkowników.
Cyberhaven breach reported. Employee phished and pushed malicious chrome extension.
— Christopher Stanley (@cstanley) December 26, 2024
Command and Control:
149.28.124.84
cyberhavenext[.]pro
File Hashes:
content.js AC5CC8BCC05AC27A8F189134C2E3300863B317FB
worker.js 0B871BDEE9D8302A48D6D6511228CAF67A08EC60
Świąteczny atak phishingowy rozpoczął się od rozszerzenia Cyberhaven zapobiegającego utracie danych. Sam atak polegał na wysłaniu wiadomości informującej o rzekomym naruszeniu zasad Google i ryzyku usunięcia dodatku z Chrome Web Store. W e-mailu umieszczono link nadający uprawnienia programowi o nazwie „Privacy Policy Extension”, co w praktyce było zwykłą pułapką, na którą niestety dał nabrać się administrator, przekazując hakerom wrażliwe dane.
Ma to swoje konsekwencje, bo aplikacja zaktualizowała dane dla 40 tysięcy użytkowników. Zhakowana wersja Cyberhaven 24.10.4, była dostępna przez 31 godzin, od 25 do 26 grudnia. W tym czasie narzędzie automatycznie wykonywało złośliwy kod, który miał za zadanie wykradać loginy, hasła oraz pliki cookie. Po kilku godzinach deweloperzy odkryli zagrożenie i usunęli wszelkie uprawnienia i kod. Była to jednak szeroka kampania wymierzona nie tylko w Cyberhaven, ale prawie 40 dodatków.
Atak phishingowy wymierzony w ponad 30 dodatków
John Tuckner, założyciel Secure Annex, firmy zajmującej się analizą i zarządzaniem rozszerzeniami przeglądarek, poinformował, że co najmniej 19 innych dodatków do Chrome zostało zaatakowanych w ten sam sposób. Dalsze dochodzenie ujawniło, iż ofiarą ataku padło 26 dodatków, a parę dni później lista rozszerzyła się o kolejne 10 dodatków, które wyposażono w identyczny złośliwy kod.
Wśród aplikacji, które zostały zaatakowane są m.in. Web3Password Manager, asystent YesCaptcha, czy GraphQL Network Inspector, Internxt VPN, VPNCity oraz Proxy SwitchyOmega.
Pokaż / Dodaj komentarze do: Ogromny atak na dodatki do Google Chrome. Zagrożonych ponad 30 rozszerzeń