Hakovano 16 ekstenzija za Chrome, ugroženi podaci 600.000 korisnika

Vesti, 30.12.2024, 10:30 AM

Hakovano 16 ekstenzija za Chrome, ugroženi podaci 600.000 korisnika

Najmanje 16 ekstenzija za Chrome kompromitovano je u phishing napadima na izdavače ekstenzija za veb pregledač u Chrome Web Store. Time su ugroženi podaci više od 600.000 korisnika ovih ekstenzija.

Napadači su iskoristili dozvole za pristup izdavača ekstenzija da ubace zlonamerni kod u legitimne ekstenzije kako bi ukrali kolačiće i tokene za pristup korisnika.

Prva žrtva kampanje je firma za sajber bezbednost Cyberhaven, čiji je zaposleni bio žrtva phishing napada 24. decembra, što je omogućilo napadačima da objave zlonamernu verziju ekstenzije. 27. decembra, Cyberhaven je otkrio da su hakeri kompromitovali njihovu ekstenziju i ubacili zlonamerni kod koji komunicira sa serverom za komandu i kontrolu (C&C) koji se nalazi na domenu cyberhavenext[.]pro, odakle preuzima konfiguracione fajlove i eksfiltrira podatke korisnika.

Phishing imejl, koji navodno šalje podrška za programere Google Chrome veb prodavnice, napisan je tako da stvori osećaj hitnosti tvrdnjom da bi ekstenzija mogla biti uklonjena iz prodavnice, zbog navodnog kršenja smernica programa za programere (Developer Program Policies). Primalac se poziva da klikne na link kako bi prihvatio smernice, nakon čega se preusmerava na stranicu gde treba da da dozvole zlonamernoj aplikaciji pod nazivom „Privacy Policy Extension“. Kada su napadači dobili potrebne dozvole i postavili svoju verziju ekstenzije za Chrome u Chrome veb prodavnicu, sproveden je uobičajeni proces pregleda Chrome veb prodavnice, i odobreno objavljivanje ekstenzije.

Osim ekstenzije Cyberhavena, identifikovane su i druge ekstenzije koje su takođe kompromitovane i koje su komunicirale sa istim C&C serverom. Reč je o sledećim ekstenzijama: AI Assistant - ChatGPT and Gemini for Chrome, Bard AI Chat Extension, GPT 4 Summary with OpenAI, Search Copilot AI Assistant for Chrome, TinaMInd AI Assistant, Wayin AI, VPNCity, Internxt VPN, Vindoz Flex Video Recorder, VidHelper Video Downloader, Bookmark Favicon Changer, Castorus, Uvoice, Reader Mode, Parrot Talks, Primus, Tackker - online keylogger tool, AI Shop Buddy, Sort by Oldest, Rewards Search Automator, ChatGPT Assistant - Smart Search, Keyboard History Recorder, Email Hunter, Visual Effects for Google Meet i Earny - Up to 20% Cash Back.

Postoji mogućnost da je kampanja počela 5. aprila 2023., a verovatno i ranije na osnovu datuma registracije domena koji se koriste: nagofsg[.]com je registrovan u avgustu 2022. a sclpfybn[.]com je registrovan u julu 2021.

Analiza kompromitovane ekstenzije Cyberhavena otkrila je da je zlonamerni kod ciljao podatke o identitetu i pristupne tokene Facebook naloga, a posebno Facebook poslovnih naloga.

Cyberhaven je rekao da je zlonamerna verzija ekstenzije uklonjena 24 sata nakon što je objavljena. Neke druge kompromitovane ekstenzije su takođe već ažurirane ili uklonjene iz Chrome veb prodavnice.

Međutim, to što je ekstenzija uklonjena iz Chrome veb prodavnice ne znači da je opasnost prošla. Sve dok je kompromitovana verzija ekstenzije i dalje aktivna na uređaju, hakeri i dalje mogu da joj pristupe i eksfiltriraju podatke korisnika.

Potraga za drugim kompromitovanim ekstenzijama i dalje traje. U ovom trenutku nije jasno ko stoji iza kampanje i da li su ovi incidenti povezani.

Dopuna vesti: Posle vesti da je kompromitovano najmanje 16 ekstenzija za Chrome, platforma za bezbednost ekstenzija Secure Annex je objavila da je do danas kompromitovano najmanje 25 ekstenzija za Chrome sa ukupno 2.291.000 korisnika. Neke od pogođenih ekstenzija su popularne ekstenzije Visual Effects for Google Meet, Reader Mode, Email Hunter, Bard AI chat i Rewards Search Automator.

Kompletnu listu kompromitovanih ekstenzija možete naći ovde.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Da li su vaše lozinke među najslabijim lozinkama?

Da li su vaše lozinke među najslabijim lozinkama?

Analiza više od 19 milijardi procurelih lozinki otkrila je i dalje prisutnu, široko rasprostranjenu pojavu ponovne upotrebe slabih lozinki. Lozinke,... Dalje

Prevare sa „tajanstvenim kutijama“ kradu podatke sa platnih kartica i novac sa računa kupaca

Prevare sa „tajanstvenim kutijama“ kradu podatke sa platnih kartica i novac sa računa kupaca

Istraživači kompanije Bitdefender upozorili su veoma sofisticirane prevare putem pretplata, za koje sajber kriminalci koriste „neverovatno ube... Dalje

Nalozi trećine korisnika interneta hakovani prošle godine zbog slabe lozinke

Nalozi trećine korisnika interneta hakovani prošle godine zbog slabe lozinke

Bar jedan onlajn nalog više od trećine (36%) ljudi prošle godine je hakovan zbog slabe ili ukradene lozinke, otkrilo je novo istraživanje FIDO al... Dalje

Google: Softverske ranjivosti nultog dana veoma tražene i sve ih je lakše nabaviti, a evo ko ih i zašto koristi

Google: Softverske ranjivosti nultog dana veoma tražene i sve ih je lakše nabaviti, a evo ko ih i zašto koristi

Sajber kriminalci su koristili najmanje 75 bezbednosnih ranjivosti za koje proizvođači softvera nisu znali - takozvane nulte ranjivosti - otkriva iz... Dalje

Microsoft glavna meta fišing napada, Mastercard se vratio na listu najčešće zloupotrebljavanih brendova

Microsoft glavna meta fišing napada, Mastercard se vratio na listu najčešće zloupotrebljavanih brendova

Microsoft je i dalje brend koji se najviše zloupotrebljava u fišing napadima. Ime tehnološkog giganta pojavljuje se u više od trećine (36%) svih ... Dalje