Νέες λεπτομέρειες έχουν προκύψει σχετικά με μια καμπάνια phishing που στοχεύει προγραμματιστές επεκτάσεων του Google Chrome, η οποία οδήγησε στην παραβίαση τουλάχιστον τριάντα πέντε επεκτάσεων για την εισαγωγή κώδικα κλοπής δεδομένων, συμπεριλαμβανομένων εκείνων από την εταιρεία κυβερνοασφάλειας Cyberhaven.
Δείτε επίσης: Ενημέρωση Chrome 131 διορθώνει κρίσιμα σφάλματα ασφαλείας
Αν και οι αρχικές αναφορές επικεντρώθηκαν στην επέκταση του Cyberhaven που εστιάζει στην ασφάλεια, οι μεταγενέστερες έρευνες αποκάλυψαν ότι ο ίδιος κώδικας είχε εγχυθεί σε τουλάχιστον 35 επεκτάσεις που χρησιμοποιούνται συλλογικά από περίπου 2.600.000 άτομα.
Από αναφορές στο LinkedIn και τις Ομάδες Google από στοχευμένους προγραμματιστές, η πιο πρόσφατη καμπάνια ξεκίνησε γύρω στις 5 Δεκεμβρίου 2024. Ωστόσο, παλαιότεροι υποτομείς εντολών και ελέγχου που εντοπίστηκαν από το BleepingComputer υπήρχαν ήδη από τον Μάρτιο του 2024.
Xάκερ παρακάμπτουν την προστασία phishing του iMessage
CES 2025: Τα πιο συναρπαστικά ρομπότ!
Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας
Η επίθεση ξεκινά με ένα μήνυμα ηλεκτρονικού phishing που αποστέλλεται στους προγραμματιστές επεκτάσεων του Google Chrome απευθείας ή μέσω ενός email υποστήριξης, που σχετίζεται με το όνομα τομέα τους. Οι ακόλουθοι τομείς χρησιμοποιήθηκαν σε αυτήν την καμπάνια για την αποστολή των μηνυμάτων ηλεκτρονικού phishing:
- supportchromestore.com
- forextensions.com
- chromeforextension.com
Το phishing email, το οποίο φαίνεται σαν να προέρχεται από την Google, ισχυρίζεται ότι η επέκταση παραβιάζει τις πολιτικές του Chrome Web Store και κινδυνεύει να καταργηθεί.
Δείτε ακόμα: Ενημερώσεις Google Chrome – Διορθώνει 3 ευπάθειες
Συγκεκριμένα, ο προγραμματιστής της επέκτασης πιστεύει ότι η περιγραφή του λογισμικού του περιέχει παραπλανητικές πληροφορίες και πρέπει να συμφωνήσει με τις πολιτικές του Chrome Web Store.
Εάν ο προγραμματιστής κάνει κλικ στο ενσωματωμένο κουμπί “Μετάβαση στην πολιτική” σε μια προσπάθεια να κατανοήσει ποιους κανόνες έχουν παραβιάσει, μεταφέρεται σε μια νόμιμη σελίδα σύνδεσης στον τομέα της Google για μια κακόβουλη εφαρμογή OAuth. Η σελίδα αποτελεί μέρος της τυπικής ροής εξουσιοδοτήσεων της Google, σχεδιασμένη για την ασφαλή χορήγηση αδειών σε επεκτάσεις τρίτων για το Chrome, για πρόσβαση σε συγκεκριμένους πόρους λογαριασμού Google.
Σε αυτήν την πλατφόρμα, ο εισβολέας φιλοξενεί μια κακόβουλη εφαρμογή OAuth με το όνομα “Επέκταση Πολιτικής Απορρήτου” που ζητά από το θύμα να χορηγήσει άδεια διαχείρισης επεκτάσεων του Chrome Web Store μέσω του λογαριασμού του. Ο έλεγχος ταυτότητας πολλαπλών παραγόντων δεν βοήθησε στην προστασία του λογαριασμού, καθώς δεν απαιτούνται άμεσες εγκρίσεις στις ροές εξουσιοδότησης OAuth και η διαδικασία προϋποθέτει ότι ο χρήστης κατανοεί πλήρως το εύρος των αδειών που εκχωρεί.
Μόλις οι φορείς της απειλής αποκτούσαν πρόσβαση στον λογαριασμό του προγραμματιστή της επέκτασης, τροποποιούσαν την επέκταση για να συμπεριλάβει δύο κακόβουλα αρχεία, συγκεκριμένα τα ‘worker.js‘ και ‘content.js‘, τα οποία περιείχαν κώδικα για την κλοπή δεδομένων από λογαριασμούς Facebook. Η επέκταση που παραβιάστηκε δημοσιεύτηκε στη συνέχεια ως “νέα” έκδοση στο Chrome Web Store.
Δείτε επίσης: Ευπάθεια Type Confusion στο Google Chrome επιτρέπει απομακρυσμένη πρόσβαση
Ο κώδικας κλοπής δεδομένων αναφέρεται σε κακόβουλο λογισμικό που έχει σχεδιαστεί για να διεισδύει σε συστήματα και να εξάγει ευαίσθητες πληροφορίες όπως προσωπικά στοιχεία, οικονομικά δεδομένα ή διαπιστευτήρια σύνδεσης. Συχνά αναπτύσσεται μέσω επιθέσεων ηλεκτρονικού phishing, κακόβουλων λήψεων ή παραβιασμένων ιστότοπων, αυτός ο τύπος κώδικα λειτουργεί κρυφά για να αποφύγει τον εντοπισμό. Μπορεί να έχει μορφές όπως keyloggers, spyware ή ακόμα και προηγμένο ransomware με δυνατότητες εξαγωγής δεδομένων. Η προστασία από τον κώδικα κλοπής δεδομένων απαιτεί ισχυρά μέτρα κυβερνοασφάλειας, όπως λογισμικό προστασίας από ιούς, τακτικές ενημερώσεις, ισχυρούς κωδικούς πρόσβασης και ευαισθητοποίηση των χρηστών σχετικά με πιθανές απειλές.
Πηγή: bleepingcomputer