Atak na dodatki do Chrome. Złośliwy kod w prawie 40 rozszerzeniach

Problemy z dodatkami do przeglądarek nie są niczym nowym. Jak opisywaliśmy na łamach CyberDefence24, było tak w lipcu, gdy północnokoreańscy hakerzy przygotowali rozszerzenie do Chrome, które zbierało adresy mailowe oraz hasła do poczty elektronicznej.

Zwykły phishing, wielkie kłopoty

Po pół roku, kwestia dodatków do przeglądarki Google’a powraca, jednak tym razem w znacznie gorszej odsłonie. Jak opisało ExtensionTotal, wszystko zaczęło się od phishingu wymierzonego w jednego z administratorów firmy Cyberhaven. zajmującej się zapobieganiem utracie danych. Atak, przeprowadzony w Wigilię Bożego Narodzenia, składał się z wiadomości mówiącej o rzekomym naruszeniu zasad Google i ryzyku usunięcia rozszerzenia firmy z Chrome Web Store.

W e-mailu zawarto link, za pomocą którego możliwe było przekazanie uprawnień dla aplikacji nazwanej „Privacy Policy Extension”. Problem polegał jednak na tym, że nie pochodziła ona od Google’a, a od cyberprzestępcy. Niestety, administrator dał się nabrać, a haker uzyskał to, czego potrzebował.

Nie tylko Cyberhaven. Zainfekowanych ponad 30 dodatków

To dopiero początek historii. W Boże Narodzenie pojawiła się aktualizacja rozszerzenia stworzonego przez Cyberhaven do przeglądarki Chrome. Nie była to jednak wersja przygotowana przez firmę, tylko ta udostępniona przez aktora zagrożeń. Jednym z uprawnień przekazanych „Privacy Policy Extension” była możliwość wgrywania aktualizacji dodatków zarządzanych przez dane konto. 

W przypadku rozszerzenia Cyberhaven, przeglądarka automatycznie zaktualizowała je dla blisko 400 tys. osób, które je subskrybowały - standard w przypadku dodatków. Zmodyfikowany kod miał za zadanie wykradnie loginów, haseł czy plików cookie. Po kilku godzinach firma zorientowała się w sytuacji, usunęła złośliwą aktualizację (i uprawnienia) oraz poinformowała o sytuacji. 

Przypadkiem ataku na Cyberhaven zainteresowała się organizacja zajmująca się cyberbezpieczeństwem - ExtensionTotal. Jej śledztwo, rozpoczęte tuż po świętach, ujawniło niespotykaną dotąd skalę problemu. 30 grudnia instytucja poinformowała, że phishing wymierzony był także w wiele innych podmiotów – razem z pierwotnym źródłem informacji, ofiarą ataku padło 26 roszerzeń. W ciągu kolejnych dwóch dni zidentyfikowano kolejne 10 dodatków, które zawierało ten sam złośliwy kod.

Przykry prezent świąteczny dla milionów użytkowników

„Obecne szacunki wskazują na to, że ponad milion komputerów zostało zainfekowanych za pośrednictwem rozszerzeń” – podaje ExtensionTotal. Okazuje się, że atakujący nie wybierali dodatków z konkretnej kategorii. Na liście znalazło się kilka związanych ze sztuczną inteligencją (cztery dotyczyły ChataGPT), ale także Web3Password Manager, asystent YesCaptcha, czy GraphQL Network Inspector. 

Złośliwy kod zidentyfikowano także w dwóch rozszerzeniach VPN (Internxt VPN oraz VPNCity) oraz Proxy SwitchyOmega. Część z dodatków już została usunięta ze sklepu lub zaktualizowana, ale niektóre nadal czekają na reakcję deweloperów. Pełna lista dostępna jest pod tym linkiem.

Jeżeli którekolwiek z rozszerzeń jest zainstalowane w Chrome, ale nadal oczekuje na reakcję twórców lub jego status w Web Store nie wskazuje na nią, zalecamy jego usunięcie. Z kolei hasła, które były wpisywane w przeglądarce między świętami a pojawieniem się dodatku, muszą być zresetowane bez względu na status rozszerzenia – istnieje duże prawdopodobieństwo, że atakujący wszedł w ich posiadanie.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].