A apărut mai multe detalii despre o campanie de phishing care vizează dezvoltatorii de extensii pentru browserul Chrome și care a dus la compromiterea a cel puțin treizeci și cinci de extensii pentru a injecta cod de furt de date, inclusiv cele de la firma de securitate cibernetică Cyberhaven.
Deși rapoartele inițiale s-au concentrat pe extensia orientată către securitate a Cyberhaven, investigațiile ulterioare au dezvăluit că același cod a fost injectat în cel puțin 35 de extensii folosite colectiv de aproximativ 2.600.000 de persoane.
Din rapoartele de pe LinkedIn și Google Groups de la dezvoltatorii vizați, cea mai recentă campanie a început în jurul datei de 5 decembrie 2024. Cu toate acestea, subdomeniile de comandă și control găsite anterior de BleepingComputer existau încă din martie 2024.
„Am vrut doar să avertizez oamenii cu privire la un e-mail de phishing mai sofisticat decât de obicei pe care l-am primit și care menționa o încălcare a politicii de extensie Chrome sub forma: ‘Detalii inutile în descriere’,” se arată în postarea pe grupul Chromium Extension’s de pe Google Groups.
„Linkul din acest e-mail pare a fi de pe Magazinul Web, dar te duce către un site de phishing care va încerca să preia controlul asupra extensiei tale Chrome și probabil să o actualizeze cu malware.”
Atacul începe cu un e-mail de phishing trimis direct dezvoltatorilor de extensii Chrome sau prin intermediul unui e-mail de suport asociat cu numele de domeniu al acestora.
Din e-mailurile văzute de BleepingComputer, următoarele domenii au fost folosite în această campanie pentru a trimite e-mailuri de phishing:
E-mailul de phishing, care este creat pentru a părea că provine de la Google, pretinde că extensia încalcă politicile Magazinului Web Chrome și este în pericol să fie eliminată.
„Nu permitem extensii cu metadate înșelătoare, prost formatate, ne-descriptive, irelevante, excesive sau nepotrivite, inclusiv dar fără a se limita la descrierea extensiei, numele dezvoltatorului, titlu, icon, capturi de ecran și imagini promoționale,” se arată în e-mailul de phishing.
Mai exact, dezvoltatorul extensiei este condus să creadă că descrierea software-ului său conține informații înșelătoare și trebuie să fie de acord cu politicile Magazinului Web Chrome.
Dacă dezvoltatorul dă clic pe butonul ‘Mergi la Politică’ încorporat într-un efort de a înțelege ce reguli au încălcat, ei sunt duși către o pagină de autentificare legitimă pe domeniul Google pentru o aplicație OAuth malitioasă.
Pagina face parte din fluxul standard de autorizare Google, proiectat pentru a acorda permisiuni în siguranță pentru ca aplicațiile terțe să acceseze resurse specifice ale contului Google.
Pe acea platformă, atacatorul a găzduit o aplicație OAuth malitioasă numită „Privacy Policy Extension” care îi cerea victimei să acorde permisiunea de a gestiona extensiile Magazinului Web Chrome prin contul său.
„Atunci când acordați acest acces, Privacy Policy Extension va fi capabil să: Vizualizeze, editeze, actualizeze sau publice extensiile, temele, aplicațiile și licențele pe care le aveți acces,” se arată pe pagina de autorizare OAuth.
Autentificarea multi-factor nu a ajutat la protejarea contului deoarece aprobările directe în fluxurile de autorizare OAuth nu sunt necesare, iar procesul presupune că utilizatorul înțelege pe deplin domeniul permisiunilor pe care le acordă.
„Angajatul a urmat fluxul standard și a autorizat cu inadvertență această aplicație terță malitioasă,” explică Cyberhaven într-un raport post-mortem.
„Angajatul avea activată Protecția Avansată Google și avea MFA acoperindu-i contul. Angajatul nu a primit o solicitare MFA. Credențialele Google ale angajatului nu au fost compromise.”
Odată ce actorii de amenințare au obținut acces la contul dezvoltatorului de extensii, ei au modificat extensia pentru a include două fișiere malitioase, anume ‘worker.js’ și ‘content.js’, care conțineau cod pentru a fura date din conturile de Facebook.
Extensia preluată a fost apoi publicată ca o versiune ‘nouă’ pe Magazinul Web Chrome.
În timp ce Extension Total urmărește treizeci și cinci de extensii afectate de această campanie de phishing, IOC-urile de la atac indică faptul că un număr mult mai mare au fost vizate.
Conform VirusTotal, actorii de amenințare au pre-înregistrat domenii pentru extensiile vizate, chiar dacă acestea nu au căzut pradă atacului.
În timp ce majoritatea domeniilor au fost create în noiembrie și decembrie, BleepingComputer a descoperit că actorii de amenințare testau acest atac în martie 2024.
Analiza mașinilor compromise a arătat că atacatorii urmăreau conturile de Facebook ale utilizatorilor extensiilor otrăvite.
Mai exact, codul de furt de date încerca să obțină ID-ul de Facebook al utilizatorului, tokenul de acces, informațiile contului, informațiile contului de publicitate și conturile de business.
În plus, codul malitios a adăugat un ascultător de evenimente de clic pe mouse special pentru interacțiunile victimei pe Facebook.com, căutând imagini de cod QR legate de mecanismele de autentificare cu doi factori sau CAPTCHA ale platformei.
Acest lucru avea ca scop să ocolească protecțiile 2FA de pe contul de Facebook și să permită actorilor de amenințare să-l preia.
Informațiile furate ar fi fost ambalate împreună cu cookie-urile de Facebook, șirul agentului utilizator, ID-ul de Facebook și evenimentele de clic ale mouse-ului și exfiltrate către serverul de comandă și control al atacatorului.
Actorii de amenințare au vizat conturile de business de pe Facebook prin diverse căi de atac pentru a face plăți directe din creditul victimei către contul lor, a desfășura campanii de dezinformare sau phishing pe platforma de socializare sau a monetiza accesul lor prin vânzarea acestuia altora.
Extensia Chrome a firmei de securitate cibernetică a fost preluată pentru a fura datele utilizatorilor
Anunțuri false Bitwarden pe Facebook promovează extensie Chrome care fura informații
LastPass avertizează cu privire la centrele de suport false care încearcă să fure datele clienților
Departamentul Trezoreriei din SUA a fost compromis printr-o platformă de suport remote
Leave a Reply