Una recente campagna di attacco ha compromesso 16 estensioni del browser Chrome, esponendo oltre 600.000 utenti a un potenziale furto di dati e compromissione delle credenziali. La campagna ha preso di mira gli editori tramite phishing, consentendo agli aggressori di inserire codice dannoso in estensioni legittime.
Estensioni di Chrome violate: oltre 600.000 utenti esposti
L’impresa di sicurezza informatica Cyberhaven è stata la prima vittima conosciuta, con un dipendente vittima di un attacco di phishing il 24 dicembre. Questa violazione ha consentito agli aggressori di pubblicare una versione dannosa dell’estensione di Cyberhaven. Il 27 dicembre, Cyberhaven ha confermato che l’estensione era stata compromessa e che era stato inserito codice dannoso per interagire con un server di comando e controllo (C&C) esterno su cyberhavenext[.]pro.
L’e-mail di phishing, mascherata da comunicazione del supporto per gli sviluppatori di Google Chrome Web Store, creava un falso senso di urgenza, sostenendo che l’estensione del destinatario era a rischio di rimozione a causa di violazioni delle norme. Facendo clic sul collegamento sono stati indirizzati a un’applicazione OAuth dannosa denominata “Privacy Policy Extension”, che ha ottenuto le autorizzazioni necessarie per caricare una versione dannosa dell’estensione.
Dopo la violazione di Cyberhaven, i ricercatori hanno identificato ulteriori estensioni compromesse collegate allo stesso server C&C, incluso AI Assistant – ChatGPT E Gemelli per ChromeVPNCity e molti altri. Lo ha detto John Tuckner, fondatore di Secure Annex Le notizie sugli hacker che la campagna di attacchi potrebbe risalire al 5 aprile 2023.
L’indagine di Tuckner ha collegato Cyberhaven e gli attacchi correlati tramite codice dannoso condiviso nell’estensione “Reader Mode”. Alcune estensioni compromesse hanno preso di mira gli account Facebook, in particolare all’interno di Facebook Ads, con l’obiettivo di estrarre cookie e token di accesso.
Cyberhaven ha riferito che l’estensione dannosa è stata rimossa circa 24 ore dopo la sua pubblicazione. Tuttavia, si avverte che il codice dannoso potrebbe comunque recuperare i dati degli utenti che hanno installato la versione compromessa prima che venisse rimossa. I team di sicurezza continuano a indagare su altre estensioni esposte all’interno di questa campagna più ampia.
Vulnerabilità dell’autenticazione a due fattori di Google Chrome
Man mano che la violazione di Cyberhaven si svolgeva, ha rivelato vulnerabilità significative, inclusa la possibilità per gli hacker di aggirare le protezioni di autenticazione a due fattori. Cyberhaven ha confermato che l’attacco ha preso di mira specificamente gli accessi alla pubblicità sui social media e alle piattaforme di intelligenza artificiale.
La violazione è iniziata con un attacco di phishing che ha compromesso le credenziali Google di un dipendente, consentendo all’aggressore di caricare un’estensione dannosa. Howard Ting, CEO di Cyberhaven, ha confermato che il proprio team ha rilevato l’estensione dannosa poco dopo la sua messa in funzione, il 25 dicembre, e l’ha rimossa entro un’ora.
La versione compromessa colpiva solo gli utenti che avevano aggiornato automaticamente Chrome durante il periodo in cui era attivo il codice dannoso. Cyberhaven ha agito rapidamente, avvisando i clienti e implementando una versione sicura dell’estensione.
Cyberhaven ha consigliato agli utenti interessati di verificare di aver aggiornato la propria estensione, di revocare e ruotare le password non conformi a FIDOv2 e di esaminare i registri per individuare attività sospette. Hanno incaricato società di sicurezza esterne di eseguire analisi forensi e stanno collaborando con le forze dell’ordine come parte della loro risposta alla violazione.
Cyberhaven ha riaffermato il proprio impegno per la trasparenza e i continui miglioramenti della sicurezza alla luce dell’incidente.
Credito immagine in primo piano: Kerem Gülen/Metà viaggio
