Опасное расширение: как фишинговая атака на разработчика Chrome привела к масштабной кампании кражи данных

Инцидент начался с фишингового электронного письма, адресованного разработчику Cyberhaven. В письме утверждалось, что расширение компании нарушает политики магазина и рискует быть удалённым. Для предотвращения этого получателю предлагалось перейти по ссылке и подтвердить согласие с правилами. Однако ссылка вела не на официальный ресурс Google, а на страницу, которая запрашивала у пользователя разрешение на добавление в его аккаунт стороннего приложения под названием «Privacy Policy Extension». Этот метод известен как OAuth-фишинг.

В результате авторизации вредоносное приложение получило от имени разработчика критически важные разрешения, включая право публиковать расширения в Chrome Web Store. Этого было достаточно, чтобы злоумышленник смог заменить оригинальное расширение Cyberhaven на свою версию, содержащую скрытый вредоносный код. Вредоносная функциональность была реализована в двух модифицированных JavaScript-файлах. Первый скрипт, worker.js, отвечал за связь с управляемым атакующим доменом cyberhavenext[.]pro, который выступал в роли командного сервера (C2, command and control). Этот сервер передавал конфигурационные данные для атаки и сохранял их в локальном хранилище браузера.

Второй скрипт, content.js, был полезной нагрузкой (payload), непосредственно занимавшейся кражей данных. В случае с Cyberhaven этот скрипт был настроен на сбор конфиденциальной информации, связанной с Facebook. В частности, он таргетировал токены доступа, идентификаторы пользователей, данные аккаунтов, бизнес-кабинеты, информацию о рекламных счетах, cookies и строки пользовательского агента. Все похищенные данные затем незаметно передавались на инфраструктуру злоумышленников.

Исследователи DomainTools, изучив индикаторы компрометации (IOCs), предоставленные Cyberhaven, обнаружили обширную сеть связанных доменов и серверов. Это указывает на то, что атака не была единичной. Командный домен cyberhavenext[.]pro был связан с IP-адресом 149.28.124[.]84 хостинг-провайдера Vultr. Анализ пассивных DNS-данных показал, что с ноября 2024 года на этот же адрес указывали как минимум 18 других доменов, причём большинство из них стали активны в последнюю неделю декабря. С высокой степенью уверенности можно утверждать, что эти домены являются частью одной кампании.

Эта оценка основана на нескольких факторах. Во-первых, наблюдается явное пересечение IP-адресов, когда потенциально связанные домены начинают резолвиться на одни и те же адреса в сжатые временные промежутки. Во-вторых, домены демонстрируют сходство в регистрационных данных Whois: они зарегистрированы через Namecheap, используют одни и те же серверы имен и сертификаты Let's Encrypt. В-третьих, в названиях доменов прослеживается единая схема - они маскируются под популярные программные продукты, такие как инструменты искусственного интеллекта, VPN-сервисы, блокировщики рекламы и другие утилиты для веб-сёрфинга.

Были выявлены и другие IP-адреса Vultr, например 149.248.2[.]160 и 136.244.115[.]219, которые также связаны с этой инфраструктурой. Данные платформы urlscan подтвердили, что на некоторых из этих доменов размещались конфигурационные файлы, аналогичные использованным в атаке на Cyberhaven, но нацеленные на другие сервисы. Например, домен internxtvpn[.]pro содержал конфигурацию для кражи данных, связанных с платформой ChatGPT, включая ключи API.

Более того, анализ показал, что часть этой инфраструктуры использовалась для хранения фишинговых страниц, ворующих учётные данные, ещё с февраля 2024 года. На этих страницах имитировались интерфейсы различных онлайн-сервисов. Однако точные механизмы привлечения жертв на эти страницы и способы использования украденных логинов и парчей остаются не до конца ясными.

Таким образом, с высокой степенью уверенности можно заключить, что инцидент с Cyberhaven стал частью продолжительной кампании, целью которой является получение доступа к конфиденциальным данным пользователей популярных веб-сервисов, включая Facebook* и ChatGPT. Наблюдаемые тактики, техники и процедуры (TTPs) указывают скорее на криминальную, чем на государственную мотивацию злоумышленников. Этот случай служит серьёзным напоминанием для разработчиков и компаний о необходимости повышенной бдительности в отношении фишинговых атак, нацеленных на учётные записи с привилегиями публикации в официальных магазинах приложений.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.

IPv4

• 136.244.115.219
• 149.248.2.160
• 149.28.124.84
• 45.76.225.148

Domains

• adskiper.net
• aiforgemini.com
• bardaiforchrome.live
• blockadsonyt.vip
• blockforads.com
• bookmarkfc.info
• castorus.info
• censortracker.pro
• chataiassistant.pro
• chatgptextension.site
• chatgptextent.pro
• checkpolicy.site
• cyberhavenext.pro
• dearflip.pro
• extensionbuysell.com
• extensionpolicy.net
• extensionpolicyprivacy.com
• geminiaigg.pro
• geminiforads.com
• goodenhancerblocker.site
• gpt4summary.ink
• gptdetector.live
• graphqlnetwork.pro
• internetdownloadmanager.pro
• internxtvpn.pro
• iobit.pro
• linewizeconnect.com
• locallyext.ink
• moonsift.store
• parrottalks.info
• pieadblock.pro
• policyextension.info
• primusext.pro
• proxyswitchyomega.pro
• readermodeext.info
• savechatgpt.site
• savegptforyou.live
• savgptforchrome.pro
• searchaiassitant.info
• searchcopilot.co
• searchgptchat.info
• tinamind.info
• tkpartner.pro
• tkv2.pro
• ultrablock.pro
• uvoice.live
• videodownloadhelper.pro
• vidnozflex.live
• vpncity.live
• wakelet.ink
• wayinai.live
• yescaptcha.pro
• youtubeadsblocker.live
• ytbadblocker.com
• yujaverity.info