Eine kürzlich durchgeführte Angriffskampagne hat 16 Chrome-Browsererweiterungen kompromittiert und über 600.000 Benutzer potenziellem Datendiebstahl und der Kompromittierung von Anmeldeinformationen ausgesetzt. Die Kampagne zielte per Phishing auf Herausgeber ab und ermöglichte es Angreifern, bösartigen Code in legitime Erweiterungen einzuschleusen.
Chrome-Erweiterungen gehackt: Über 600.000 Nutzer entlarvt
Das Cybersicherheitsunternehmen Cyberhaven war das erste bekannte Opfer, wobei ein Mitarbeiter am 24. Dezember Opfer eines Phishing-Angriffs wurde. Dieser Verstoß ermöglichte es Angreifern, eine bösartige Version der Cyberhaven-Erweiterung zu veröffentlichen. Am 27. Dezember bestätigte Cyberhaven, dass die Erweiterung kompromittiert wurde und Schadcode eingeschleust wurde, um mit einem externen Command-and-Control-Server (C&C) bei cyberhavenext zu interagieren[.]Profi.
Die Phishing-E-Mail, die als Mitteilung des Google Chrome Web Store-Entwicklersupports getarnt war, erweckte ein falsches Gefühl der Dringlichkeit und behauptete, die Erweiterung des Empfängers sei aufgrund von Richtlinienverstößen in Gefahr, entfernt zu werden. Durch Klicken auf den Link gelangten sie zu einer bösartigen OAuth-Anwendung namens „Privacy Policy Extension“, die die erforderlichen Berechtigungen zum Hochladen einer bösartigen Version der Erweiterung erhielt.
Nach dem Cyberhaven-Angriff identifizierten Forscher weitere kompromittierte Erweiterungen, die mit demselben C&C-Server verknüpft waren, darunter AI Assistant – ChatGPT Und Gemini für ChromeVPNCity und mehrere andere. John Tuckner, Gründer von Secure Annex, sagte Die Hacker-News dass die Angriffskampagne möglicherweise auf den 5. April 2023 zurückgeht.
Tuckners Untersuchung stellte einen Zusammenhang zwischen Cyberhaven und damit verbundenen Angriffen durch gemeinsam genutzten Schadcode in der „Reader Mode“-Erweiterung her. Einige kompromittierte Erweiterungen zielten auf Facebook-Konten ab, insbesondere innerhalb von Facebook-Werbeanzeigen, mit dem Ziel, Cookies und Zugriffstokens auszuschleusen.
Cyberhaven berichtete, dass die bösartige Erweiterung etwa 24 Stunden nach ihrer Veröffentlichung entfernt wurde. Es wird jedoch gewarnt, dass bösartiger Code immer noch Daten von Benutzern abrufen könnte, die die kompromittierte Version installiert haben, bevor sie entfernt wurde. Sicherheitsteams untersuchen weiterhin andere offengelegte Erweiterungen im Rahmen dieser umfassenderen Kampagne.
Sicherheitslücke bei der Zwei-Faktor-Authentifizierung in Google Chrome
Als sich der Cyberhaven-Verstoß abspielte, wurden erhebliche Schwachstellen aufgedeckt, darunter die Möglichkeit für Hacker, den Zwei-Faktor-Authentifizierungsschutz zu umgehen. Cyberhaven bestätigte, dass der Angriff speziell auf Anmeldungen bei Social-Media-Werbung und KI-Plattformen abzielte.
Der Verstoß begann mit einem Phishing-Angriff, bei dem die Google-Anmeldeinformationen eines Mitarbeiters kompromittiert wurden, wodurch der Angreifer eine bösartige Erweiterung hochladen konnte. Howard Ting, CEO von Cyberhaven, bestätigte, dass sein Team die bösartige Erweiterung kurz nach ihrer Inbetriebnahme am 25. Dezember erkannte und sie innerhalb einer Stunde entfernte.
Die kompromittierte Version betraf nur Benutzer, die Chrome während des Zeitfensters, in dem der Schadcode aktiv war, automatisch aktualisiert hatten. Cyberhaven hat schnell gehandelt, Kunden benachrichtigt und eine sichere Version der Erweiterung bereitgestellt.
Cyberhaven riet betroffenen Benutzern, zu überprüfen, ob sie ihre Erweiterung aktualisiert hatten, Passwörter zu widerrufen und zu ändern, die nicht FIDOv2-konform waren, und Protokolle auf verdächtige Aktivitäten zu überprüfen. Sie haben externe Sicherheitsfirmen mit der Durchführung forensischer Analysen beauftragt und arbeiten im Rahmen ihrer Reaktion auf den Verstoß mit den Strafverfolgungsbehörden zusammen.
Cyberhaven hat angesichts des Vorfalls sein Engagement für Transparenz und kontinuierliche Sicherheitsverbesserungen bekräftigt.
Hervorgehobener Bildnachweis: Kerem Gülen/Midjourney