Исследователи безопасности предупредили пользователей расширений Google Chrome о необходимости быть начеку — после обнаружения крупной кампании, направленной на кражу данных.
По данным ExtensionTotal, на сегодня обнаружено не менее 36 взломанных расширений Chrome, что представляет угрозу для 2,6 миллиона пользователей.
Впервые о кампании стало известно в конце декабря, когда было взломано расширение стартапа по кибербезопасности Cyberhaven, что поставило под угрозу 400 000 его пользователей.
24 декабря администратор Cyberhaven подвергся фишинговой атаке после того, как получил электронное письмо, в котором говорилось, что расширение компании нарушает политику Google и находится под угрозой удаления из интернет-магазина Chrome.
Нажатие на электронное письмо привело администратора к экрану согласия Google, запрашивающему разрешение на использование приложения OAuth под названием Privacy Policy Extension.
Приложение на самом деле было инструментом, контролируемым злоумышленником. Дав разрешение, администратор неосознанно предоставил злоумышленнику возможность загружать новые версии расширения Chrome от Cyberhaven в интернет-магазин.
Хакеры впоследствии загрузили вредоносную версию расширения, предназначенную для кражи паролей, файлов cookie и другой информации пользователей. Вредоносный код сумел обойти проверки безопасности Google.
Разработчики, будьте бдительны!
Расширения становятся все более популярным способом для злоумышленников получить начальный доступ, поскольку большинство корпоративных ИТ-отделов не контролируют то, что устанавливают их пользователи. Даже если они это делают, немногие ИТ-администраторы отслеживают последующие обновления разрешенного расширения.
Кроме того, атаковать большое количество разработчиков — это легко, поскольку их адреса электронной почты часто публикуются в Chrome Store для отправки сообщений об ошибках.
Основатель SquareX Вивек Рамачандран заявил, что его фирма уже сталкивалась с подобными атаками, направленными на кражу данных из таких приложений, как Google Drive и OneDrive, и предупредил, что злоумышленники станут «креативнее» в будущих кампаниях.
«Атаки на идентификационные данные, нацеленные на расширения браузера, подобные этой атаке OAuth, будут становиться все более распространенными, поскольку сотрудники все чаще используют браузерные инструменты для повышения производительности труда», — утверждает он.
«Компаниям необходимо сохранять бдительность и минимизировать риски в цепочке поставок, не снижая производительности труда сотрудников, предоставляя им правильные встроенные в браузер инструменты».