Μια πρόσφατη εκστρατεία επίθεσης έθεσε σε κίνδυνο 16 επεκτάσεις προγράμματος περιήγησης Chrome, εκθέτοντας πάνω από 600.000 χρήστες σε πιθανή κλοπή δεδομένων και παραβίαση διαπιστευτηρίων. Η καμπάνια στόχευε εκδότες μέσω phishing, επιτρέποντας στους εισβολείς να εισάγουν κακόβουλο κώδικα σε νόμιμες επεκτάσεις.
Παραβιάστηκαν επεκτάσεις Chrome: Εκτέθηκαν περισσότεροι από 600.000 χρήστες
Η εταιρεία κυβερνοασφάλειας Cyberhaven ήταν το πρώτο γνωστό θύμα, με έναν υπάλληλο να πέφτει σε επίθεση phishing στις 24 Δεκεμβρίου. Αυτή η παραβίαση επέτρεψε στους εισβολείς να δημοσιεύσουν μια κακόβουλη έκδοση της επέκτασης του Cyberhaven. Στις 27 Δεκεμβρίου, η Cyberhaven επιβεβαίωσε ότι η επέκταση είχε παραβιαστεί και ότι είχε εγχυθεί κακόβουλος κώδικας για αλληλεπίδραση με έναν εξωτερικό διακομιστή εντολών και ελέγχου (C&C) στο cyberhavenext[.]υπέρ.
Το μήνυμα ηλεκτρονικού ψαρέματος, που μεταμφιέστηκε ως επικοινωνία από την Υποστήριξη προγραμματιστών του Google Chrome Web Store, δημιούργησε μια ψευδή αίσθηση επείγοντος, υποστηρίζοντας ότι η επέκταση του παραλήπτη κινδύνευε να αφαιρεθεί λόγω παραβιάσεων πολιτικής. Κάνοντας κλικ στον σύνδεσμο τους οδήγησαν σε μια κακόβουλη εφαρμογή OAuth που ονομάζεται “Επέκταση Πολιτικής Απορρήτου”, η οποία απέκτησε τα απαραίτητα δικαιώματα για τη μεταφόρτωση μιας κακόβουλης έκδοσης της επέκτασης.
Μετά την παραβίαση του Cyberhaven, οι ερευνητές εντόπισαν πρόσθετες παραβιασμένες επεκτάσεις που συνδέονται με τον ίδιο διακομιστή C&C, συμπεριλαμβανομένων των AI Assistant – ChatGPT και Gemini για Chrome, VPNCity και αρκετών άλλων. είπε ο John Tuckner, ιδρυτής της Secure Annex Τα Νέα των Χάκερ ότι η εκστρατεία επίθεσης μπορεί να χρονολογείται από τις 5 Απριλίου 2023.
Η έρευνα του Tuckner συνέδεσε το Cyberhaven και τις σχετικές επιθέσεις μέσω κοινόχρηστου κακόβουλου κώδικα στην επέκταση “Reader Mode”. Ορισμένες παραβιασμένες επεκτάσεις στόχευαν λογαριασμούς Facebook, ειδικά στο Facebook Ads, με στόχο την εξαγωγή cookie και την πρόσβαση σε διακριτικά.
Η Cyberhaven ανέφερε ότι η κακόβουλη επέκταση αφαιρέθηκε περίπου 24 ώρες αφότου κυκλοφόρησε. Ωστόσο, προειδοποιείται ότι ο κακόβουλος κώδικας θα μπορούσε να ανακτήσει δεδομένα από χρήστες που εγκατέστησαν την παραβιασμένη έκδοση προτού αφαιρεθεί. Οι ομάδες ασφαλείας συνεχίζουν να ερευνούν άλλες εκτεθειμένες επεκτάσεις σε αυτήν την ευρύτερη καμπάνια.
Ευπάθεια ελέγχου ταυτότητας δύο παραγόντων του Google Chrome
Καθώς ξεδιπλώθηκε η παραβίαση του Cyberhaven, αποκάλυψε σημαντικά τρωτά σημεία, συμπεριλαμβανομένης της δυνατότητας για τους χάκερ να παρακάμψουν τις προστασίες ελέγχου ταυτότητας δύο παραγόντων. Η Cyberhaven επιβεβαίωσε ότι η επίθεση στόχευε συγκεκριμένα τις συνδέσεις σε διαφημίσεις μέσων κοινωνικής δικτύωσης και πλατφόρμες τεχνητής νοημοσύνης.
Η παραβίαση ξεκίνησε με μια επίθεση ηλεκτρονικού ψαρέματος που έθεσε σε κίνδυνο τα διαπιστευτήρια Google ενός υπαλλήλου, επιτρέποντας στον εισβολέα να ανεβάσει μια κακόβουλη επέκταση. Ο Χάουαρντ Τινγκ, Διευθύνων Σύμβουλος της Cyberhaven, επιβεβαίωσε ότι η ομάδα τους εντόπισε την κακόβουλη επέκταση λίγο μετά τη δημοσίευσή της στις 25 Δεκεμβρίου και την αφαίρεσε μέσα σε μία ώρα.
Η παραβιασμένη έκδοση επηρέασε μόνο τους χρήστες που είχαν ενημερώσει αυτόματα το Chrome κατά τη διάρκεια του παραθύρου όταν ο κακόβουλος κώδικας ήταν ζωντανός. Η Cyberhaven ανέλαβε γρήγορα μέτρα, ειδοποιώντας τους πελάτες και αναπτύσσοντας μια ασφαλή έκδοση της επέκτασης.
Η Cyberhaven συμβούλεψε τους επηρεαζόμενους χρήστες να επαληθεύσουν ότι είχαν ενημερώσει την επέκτασή τους, να ανακαλέσουν και να περιστρέψουν τους κωδικούς πρόσβασης που δεν ήταν συμβατοί με το FIDOv2 και να ελέγξουν τα αρχεία καταγραφής για ύποπτη δραστηριότητα. Έχουν προσλάβει εξωτερικές εταιρείες ασφαλείας για τη διεξαγωγή εγκληματολογικών αναλύσεων και συνεργάζονται με τις αρχές επιβολής του νόμου ως μέρος της απάντησής τους στην παραβίαση.
Η Cyberhaven έχει επιβεβαιώσει τη δέσμευσή της για διαφάνεια και συνεχείς βελτιώσεις ασφάλειας υπό το φως του συμβάντος.
Πίστωση επιλεγμένης εικόνας: Κερέμ Γκιουλέν/Μέσα ταξίδι
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
