Na światło dzienne wyszły nowe informacje dotyczące kampanii phishingowej wymierzonej w twórców rozszerzeń do przeglądarki Chrome. W jej wyniku zhakowano co najmniej 35 rozszerzeń, w tym narzędzia firmy cyberbezpieczeństwa Cyberhaven, infekując je kodem wykradającym dane użytkowników.
Choć początkowo uwaga mediów skupiła się głównie na przypadku rozszerzenia Cyberhaven, dalsze śledztwo wykazało znacznie większą skalę problemu. Złośliwy kod został wprowadzony do 35 różnych rozszerzeń, z których korzystało łącznie około 2,6 miliona użytkowników. To pokazuje, jak poważne zagrożenie stanowił ten atak dla bezpieczeństwa w sieci.
Według relacji zaatakowanych deweloperów na LinkedIn i Google Groups, najnowsza kampania rozpoczęła się około 5 grudnia 2024 roku. Jednak dziennikarze BleepingComputer odkryli, że pierwsze subdomeny wykorzystywane przez przestępców do kontroli nad przejętymi rozszerzeniami istniały już w marcu 2024 roku. To sugeruje, że przygotowania do ataku trwały znacznie dłużej niż początkowo sądzono.
Wyrafinowany atak na tożsamość OAuth
Przestępcy rozpoczynali atak od wysłania sprytnie spreparowanego maila phishingowego bezpośrednio do twórców rozszerzeń lub na adres wsparcia technicznego powiązany z ich domeną. W kampanii wykorzystywano następujące domeny:
- supportchromestore.com
- forextensions.com
- chromeforextension.com
Mail wyglądał jak oficjalna wiadomość od Google i informował, że rozszerzenie narusza zasady Chrome Web Store i grozi mu usunięcie. Przestępcy przekonywali, że opis rozszerzenia zawiera wprowadzające w błąd informacje i deweloper musi ponownie zaakceptować regulamin sklepu.
Co ciekawe, nawet włączone uwierzytelnianie dwuskładnikowe nie chroniło przed atakiem, ponieważ proces autoryzacji OAuth nie wymaga dodatkowego potwierdzenia, zakładając że użytkownik w pełni rozumie zakres przyznawanych uprawnień.
Kradzież danych z kont biznesowych Facebook
Analiza zainfekowanych maszyn wykazała, że przestępcy byli szczególnie zainteresowani kontami Facebook użytkowników zhakowanych rozszerzeń. Złośliwy kod próbował przechwycić:
- ID użytkownika Facebook
- Token dostępu
- Informacje o koncie
- Dane konta reklamowego
- Informacje o kontach biznesowych
Dodatkowo, kod monitorował interakcje użytkownika na Facebook.com, szukając obrazów kodów QR związanych z uwierzytelnianiem dwuskładnikowym lub mechanizmami CAPTCHA. Miało to na celu obejście zabezpieczeń 2FA i przejęcie konta.
