Najmanje 25 Chrome ekstenzija, sa ukupno preko 2.291.000 korisnika, kompromitovano je u sofisticiranoj phishing kampanji usmjerenoj na izdavače ekstenzija u Chrome Web Store-u.
Ovo otkriće, koje nadopunjuje ranije izvještaje o 16 kompromitovanih ekstenzija, otkriva ozbiljnost i obim ove prijetnje.
Napadači su iskoristili phishing napade kako bi preuzeli kontrolu nad nalozima izdavača ekstenzija. Nakon što su dobili pristup, ubacili su zlonamjerni kod u legitimne ekstenzije, s ciljem krađe kolačića i pristupnih tokena korisnika. Ovi tokeni omogućavaju pristup osjetljivim podacima i nalozima korisnika, uključujući potencijalno i Facebook poslovne naloge, što je otkriveno analizom jedne od kompromitovanih ekstenzija.
Kako su izvedeni napadi?
Phishing imejlovi, lažno se predstavljajući kao podrška za programere Google Chrome web prodavnice, stvorili su osjećaj hitnosti tvrdeći da bi ekstenzije mogle biti uklonjene zbog navodnog kršenja smjernica. Korisnici su bili navođeni da kliknu na link i daju dozvole zlonamjernoj aplikaciji pod nazivom „Privacy Policy Extension“. Nakon što bi napadači dobili potrebne dozvole, objavili bi kompromitovanu verziju ekstenzije u Chrome web prodavnici, koja bi potom prošla uobičajeni proces pregleda i bila odobrena.
Prva žrtva i otkriće
Prva žrtva ove kampanje bila je kompanija za sajber bezbjednost Cyberhaven. Njihov zaposleni postao je žrtva phishing napada 24. decembra, što je napadačima omogućilo da objave zlonamjernu verziju njihove ekstenzije. Cyberhaven je 27. decembra otkrio kompromitaciju i ubacivanje zlonamjernog koda koji komunicira sa kontrolnim serverom (C&C) na domenu cyberhavenext[.]pro.
Djelimičan spisak kompromitovanih ekstenzija:
Pored Cyberhaven ekstenzije, identifikovane su i druge kompromitovane ekstenzije, uključujući popularne naslove kao što su: AI Assistant - ChatGPT and Gemini for Chrome, Bard AI Chat Extension, GPT 4 Summary with OpenAI, Search Copilot AI Assistant for Chrome, TinaMInd AI Assistant, Wayin AI, VPNCity, Internxt VPN, Vindoz Flex Video Recorder, VidHelper Video Downloader, Bookmark Favicon Changer, Castorus, Uvoice, Reader Mode, Parrot Talks, Primus, Tackker - online keylogger tool, AI Shop Buddy, Sort by Oldest, Rewards Search Automator, ChatGPT Assistant - Smart Search, Keyboard History Recorder, Email Hunter, Visual Effects for Google Meet i Earny - Up to 20% Cash Back.
Vremenski okvir i potencijalni obim
Postoji mogućnost da je kampanja započela još 5. aprila 2023., a možda i ranije, sudeći prema datumima registracije domena koji se koriste u napadima.
Šta uraditi?
- Provjerite listu instaliranih ekstenzija: Odmah provjerite listu svojih Chrome ekstenzija i uporedite je sa gore navedenim spiskom kompromitovanih ekstenzija.
- Uklonite sumnjive ekstenzije: Ako pronađete neku od navedenih ekstenzija, odmah je uklonite iz pregledača.
- Ažurirajte Chrome: Provjerite da li imate najnoviju verziju Chrome pregledača.
- Promijenite lozinke: Za svaki slučaj, promijenite lozinke za važne naloge, posebno za Facebook i druge društvene mreže, kao i za naloge povezane sa vašim poslom.
- Budite oprezni sa phishing imejlovima: Nikada ne klikajte na sumnjive linkove u imejlovima i ne unosite svoje podatke na sumnjivim veb stranicama.
Važna napomena: Čak i ako je ekstenzija uklonjena iz Chrome web prodavnice, ako je i dalje instalirana na vašem uređaju, i dalje ste u opasnosti. Stoga je ključno da odmah preduzmete gore navedene mjere opreza. Istraga o ovom slučaju je u toku i očekuju se dalje informacije.
Kompletnu listu kompromitovanih ekstenzija možete naći OVDJE.
(Mondo)