Hakovano 16 ekstenzija za Chrome, ugroženi podaci 600.000 korisnika
Vesti, 30.12.2024, 10:30 AM
Najmanje 16 ekstenzija za Chrome kompromitovano je u phishing napadima na izdavače ekstenzija za veb pregledač u Chrome Web Store. Time su ugroženi podaci više od 600.000 korisnika ovih ekstenzija.
Napadači su iskoristili dozvole za pristup izdavača ekstenzija da ubace zlonamerni kod u legitimne ekstenzije kako bi ukrali kolačiće i tokene za pristup korisnika.
Prva žrtva kampanje je firma za sajber bezbednost Cyberhaven, čiji je zaposleni bio žrtva phishing napada 24. decembra, što je omogućilo napadačima da objave zlonamernu verziju ekstenzije. 27. decembra, Cyberhaven je otkrio da su hakeri kompromitovali njihovu ekstenziju i ubacili zlonamerni kod koji komunicira sa serverom za komandu i kontrolu (C&C) koji se nalazi na domenu cyberhavenext[.]pro, odakle preuzima konfiguracione fajlove i eksfiltrira podatke korisnika.
Phishing imejl, koji navodno šalje podrška za programere Google Chrome veb prodavnice, napisan je tako da stvori osećaj hitnosti tvrdnjom da bi ekstenzija mogla biti uklonjena iz prodavnice, zbog navodnog kršenja smernica programa za programere (Developer Program Policies). Primalac se poziva da klikne na link kako bi prihvatio smernice, nakon čega se preusmerava na stranicu gde treba da da dozvole zlonamernoj aplikaciji pod nazivom „Privacy Policy Extension“. Kada su napadači dobili potrebne dozvole i postavili svoju verziju ekstenzije za Chrome u Chrome veb prodavnicu, sproveden je uobičajeni proces pregleda Chrome veb prodavnice, i odobreno objavljivanje ekstenzije.
Osim ekstenzije Cyberhavena, identifikovane su i druge ekstenzije koje su takođe kompromitovane i koje su komunicirale sa istim C&C serverom. Reč je o sledećim ekstenzijama: AI Assistant - ChatGPT and Gemini for Chrome, Bard AI Chat Extension, GPT 4 Summary with OpenAI, Search Copilot AI Assistant for Chrome, TinaMInd AI Assistant, Wayin AI, VPNCity, Internxt VPN, Vindoz Flex Video Recorder, VidHelper Video Downloader, Bookmark Favicon Changer, Castorus, Uvoice, Reader Mode, Parrot Talks, Primus, Tackker - online keylogger tool, AI Shop Buddy, Sort by Oldest, Rewards Search Automator, ChatGPT Assistant - Smart Search, Keyboard History Recorder, Email Hunter, Visual Effects for Google Meet i Earny - Up to 20% Cash Back.
Postoji mogućnost da je kampanja počela 5. aprila 2023., a verovatno i ranije na osnovu datuma registracije domena koji se koriste: nagofsg[.]com je registrovan u avgustu 2022. a sclpfybn[.]com je registrovan u julu 2021.
Analiza kompromitovane ekstenzije Cyberhavena otkrila je da je zlonamerni kod ciljao podatke o identitetu i pristupne tokene Facebook naloga, a posebno Facebook poslovnih naloga.
Cyberhaven je rekao da je zlonamerna verzija ekstenzije uklonjena 24 sata nakon što je objavljena. Neke druge kompromitovane ekstenzije su takođe već ažurirane ili uklonjene iz Chrome veb prodavnice.
Međutim, to što je ekstenzija uklonjena iz Chrome veb prodavnice ne znači da je opasnost prošla. Sve dok je kompromitovana verzija ekstenzije i dalje aktivna na uređaju, hakeri i dalje mogu da joj pristupe i eksfiltriraju podatke korisnika.
Potraga za drugim kompromitovanim ekstenzijama i dalje traje. U ovom trenutku nije jasno ko stoji iza kampanje i da li su ovi incidenti povezani.
Dopuna vesti: Posle vesti da je kompromitovano najmanje 16 ekstenzija za Chrome, platforma za bezbednost ekstenzija Secure Annex je objavila da je do danas kompromitovano najmanje 25 ekstenzija za Chrome sa ukupno 2.291.000 korisnika. Neke od pogođenih ekstenzija su popularne ekstenzije Visual Effects for Google Meet, Reader Mode, Email Hunter, Bard AI chat i Rewards Search Automator.
Kompletnu listu kompromitovanih ekstenzija možete naći ovde.
Izdvojeno
OBAVEŠTENJE
Dragi čitaoci, U petak, 24. januara, Informacija.rs se pridružuje generalnom štrajku i neće biti novih tekstova na sajtu. Nastavljamo u ponedeljak... Dalje
Firme koje ransomware bandama plate otkupninu, retko kada vrate svoje podatke
Istraživanje kompanije Hiscox otkrilo je da kada je reč o napadima ransomwarea, manje od 10% kompanija koje su platile napadačima, uspelo je da pov... Dalje
Tramp pomilovao poznatog sajber kriminalca Rosa Ulbrihta, vlasnika čuvenog sajta Silk Road
Američki predsednik Donald Tramp održao je reč i pomilovao poznatog sajber kriminalca Rosa Ulbrihta, koji je ranije osuđen na doživotni zatvor. P... Dalje
Malveri Redline, Vidar i Raccoon Stealer samo prošle godine ukrali milijardu lozinki
Prema izveštaju Specops Softwarea, samo prošle godine malveri su ukrali više od milijardu lozinki uprkos tome što 230 miliona ukradenih lozinki is... Dalje
Ruski hakeri koriste WhatsApp za napade na diplomate
Microsoftovi stručnjaci za bezbednost otkrili su novu kampanju fišinga hakera koje podržava ruska država a koja je usmerena protiv visokih diploma... Dalje
Pratite nas
Nagrade