Раскрыта массовая кампания по взлому расширений для Chrome

Инцидент был выявлен благодаря срабатыванию правила в системе мониторинга безопасности (SOC). Оно было настроено для обнаружения фишинговых атак, нацеленных на платформу Okta, и сработало при попытке утечки внутренних URL компании во внешний домен. Первоначально подозрение пало на целевую атаку, но анализ показал, что источником трафика был компьютер сотрудника, на котором не было запущено вредоносное ПО в традиционном понимании.

Форензик-анализ на конечной точке выявил, что причиной инцидента стало установленное расширение для Chrome под названием «Dark Mode Night Reader». На момент расследования оно имело более 2 миллионов установок, высокий рейтинг и статус проверенного Google. Изучение кода расширения показало, что оно содержало скрытый функционал. В частности, расширение подписывалось на событие обновления вкладок ("chrome.tabs.onUpdated.addListener"). При каждом посещении пользователем новой страницы URL-адрес в открытом тексте отправлялся на сервер злоумышленников. В ответ сервер мог прислать новый адрес, на который браузер автоматически и незаметно для пользователя выполнял переадресацию.

Исследование выявило, что расширение «Dark Mode Night Reader» существовало в двух версиях. Более старая версия не содержала вредоносного кода, что указывает на вероятный взлом разработчика или продажу исходного кода на черном рынке, например, на площадках вроде Flippa. После этого злоумышленники выпустили обновление с backdoor-функцией (бэкдором).

Обнаружение одного скомпрометированного расширения навело экспертов на мысль о более широкой кампании. Специалисты создали правило в системе SIEM для поиска характерных паттернов в сетевом трафике и выявили других зараженных пользователей. Для масштабной проверки были скачаны и проанализированы файлы 50 000 самых популярных расширений из Chrome Web Store. Анализ одного терабайта данных позволил выявить восемь вредоносных расширений, использовавших идентичную технику взлома. Они общались с разными управляющими серверами (C2), но имели одинаковые паттерны кода.

Среди обнаруженных дополнений были как утилиты (например, «Color Picker Eyedropper» или «Skip Ad»), так и псевдо-VPN-сервисы для разблокировки доступа к соцсетям. Некоторые расширения, включая «Dark Mode - Dark Reader For Chrome» с 8 миллионами установок, к моменту публикации отчета уже были удалены с площадки. Однако другие все еще оставались доступны для загрузки.

Основной угрозой со стороны этой кампании стала полная компрометация приватности пользователей. Все данные об их активности в интернете в реальном времени утекали к атакерам. Кроме того, механизм переадресации открывал путь для скрытого перенаправления жертв на фишинговые сайты или ресурсы для распространения вредоносного ПО (malware). Полезная нагрузка (payload) атаки была ориентирована на кражу данных, а не на разрушение. На данный момент не установлена связь кампании с какой-либо известной APT-группой (Advanced Persistent Threat). Скорее всего, это коммерческий инструмент, распространяемый на черном рынке для массовых атак.

Для защиты эксперты рекомендуют организациям внедрить мониторинг сетевого трафика на предмет подозрительных параметров, таких как "&allowempty=1&out=". Также необходимы регулярные аудиты установленных расширений на корпоративных устройствах и ограничение их установки из официального магазина только после проверки. Пользователям следует с осторожностью относиться к расширениям, даже имеющим высокий рейтинг и множество установок, и периодически пересматривать список установленных дополнений, удаляя неиспользуемые.

Domains

• addmitab.com
• admitclick.net
• brinato.com
• click.videocontrols.com
• getadtad.com
• undiscord.com
• untwitter.com
• unyoutube.com
• ytskip.com

Extension IDs

• eokjikchkppnkdipbiggnmlkahcdkikp
• pdpfhanekfkeijhemmfbnnjffiblgefi
• lkahpjghmdhpiojknppmlenngmpkkfma
• cbajickflblmpjodnjoldpiicfmecmif
• mlgbkfnjdmaoldgagamcnommbbnhfnhf
• pdbfcnhlobhoahcamoefbfodpmklgmjm
• gaiceihehajjahakcglkhmdbbdclbnlf
• pjbgfifennfhnbkhoidkdchbflppjncb