Bij een recente aanvalscampagne zijn zestien Chrome-browserextensies gecompromitteerd, waardoor meer dan 600.000 gebruikers zijn blootgesteld aan mogelijke gegevensdiefstal en inloggegevens. De campagne richtte zich op uitgevers via phishing, waardoor aanvallers kwaadaardige code in legitieme extensies konden injecteren.
Chrome-extensies gehackt: meer dan 600.000 gebruikers blootgesteld
Het cyberbeveiligingsbedrijf Cyberhaven was het eerste bekende slachtoffer, waarbij een medewerker op 24 december ten prooi viel aan een phishing-aanval. Door deze inbreuk konden aanvallers een kwaadaardige versie van de extensie van Cyberhaven publiceren. Op 27 december bevestigde Cyberhaven dat de extensie was gecompromitteerd en dat er kwaadaardige code was geïnjecteerd om te communiceren met een externe command-and-control (C&C) server op cyberhavenext.[.]pro.
De phishing-e-mail, vermomd als bericht van Google Chrome Web Store Developer Support, wekte een vals gevoel van urgentie en beweerde dat de extensie van de ontvanger het risico liep te worden verwijderd vanwege beleidsschendingen. Door op de link te klikken, kwamen ze terecht bij een kwaadaardige OAuth-applicatie genaamd ‘Privacy Policy Extension’, die de benodigde toestemming kreeg om een kwaadaardige versie van de extensie te uploaden.
Na de inbreuk op Cyberhaven hebben onderzoekers aanvullende gecompromitteerde extensies geïdentificeerd die zijn gekoppeld aan dezelfde C&C-server, waaronder AI Assistant – ChatGPT En Tweeling voor ChromeVPNCity en verschillende anderen. John Tuckner, oprichter van Secure Annex, vertelde het Het hackernieuws dat de aanvalscampagne mogelijk teruggaat tot 5 april 2023.
Tuckners onderzoek bracht de Cyberhaven en gerelateerde aanvallen met elkaar in verband via gedeelde kwaadaardige code in de “Reader Mode”-extensie. Sommige gecompromitteerde extensies waren gericht op Facebook-accounts, met name binnen Facebook-advertenties, met als doel cookies en toegangstokens te exfiltreren.
Cyberhaven meldde dat de kwaadaardige extensie ongeveer 24 uur nadat deze live ging, werd verwijderd. Er wordt echter gewaarschuwd dat kwaadaardige code nog steeds gegevens kan ophalen van gebruikers die de gecompromitteerde versie hebben geïnstalleerd voordat deze werd verwijderd. Beveiligingsteams blijven andere blootgestelde extensies binnen deze bredere campagne onderzoeken.
Kwetsbaarheid met tweefactorauthenticatie in Google Chrome
Naarmate de Cyberhaven-inbraak zich openbaarde, kwamen er aanzienlijke kwetsbaarheden aan het licht, waaronder de mogelijkheid voor hackers om tweefactorauthenticatiebeveiligingen te omzeilen. Cyberhaven bevestigde dat de aanval zich specifiek richtte op logins op sociale media-advertenties en AI-platforms.
De inbreuk begon met een phishing-aanval waarbij de Google-inloggegevens van een medewerker in gevaar werden gebracht, waardoor de aanvaller een kwaadaardige extensie kon uploaden. Howard Ting, CEO van Cyberhaven, bevestigde dat hun team de kwaadaardige extensie kort nadat deze op 25 december live ging, ontdekte en binnen een uur verwijderde.
De gecompromitteerde versie trof alleen gebruikers die Chrome automatisch hadden bijgewerkt tijdens de periode waarin de kwaadaardige code live was. Cyberhaven ondernam snel actie, bracht klanten op de hoogte en implementeerde een veilige versie van de extensie.
Cyberhaven adviseerde getroffen gebruikers om te verifiëren dat ze hun extensie hadden bijgewerkt, wachtwoorden in te trekken en te rouleren die niet FIDOv2-compatibel waren, en om logs te controleren op verdachte activiteiten. Ze hebben externe beveiligingsbedrijven ingeschakeld om forensische analyses uit te voeren en werken samen met wetshandhavers als onderdeel van hun reactie op de inbreuk.
Cyberhaven heeft in het licht van het incident zijn inzet voor transparantie en voortdurende veiligheidsverbeteringen herbevestigd.
Uitgelichte afbeeldingscredits: Kerem Gülen/Midjourney
