26 декабря 2024 года компания Cyberhaven, специализирующаяся на защите информации, сообщила своим пользователям о взломе расширения для браузера Chrome. Злоумышленник воспользовался правами разработчика расширения, полученными ранее в результате целевой фишинговой атаки, и загрузил вредоносную версию Cyberhaven в Chrome Web Store.
Описание
Расследование инфраструктуры противника показало, что в течение декабря 2024 года злоумышленник скомпрометировал дюжину расширений Chrome, потенциально затронув сотни тысяч конечных пользователей. Вредоносный код, внедренный в эти скомпрометированные расширения, был нацелен на сбор конфиденциальных данных из веб-браузеров пользователей. Целью атаки были API-ключи, сессионные файлы cookie и другие маркеры аутентификации с таких сайтов, как ChatGPT и Facebook for Business.
Сообщив об этой атаке разработчикам взломанных расширений, аналитики Sekoia смогли получить исходные фишинговые письма. Это позволило нам понять весь ход атаки и обнаружить инфраструктуру, используемую злоумышленником как минимум с 2023 года, а возможно, и раньше.
Взлом примерно десятка расширений Chrome с начала декабря 2024 года, в результате которого, предположительно, были заражены сотни тысяч пользователей расширений.
Аналитики Sekoia с высокой степенью уверенности полагают, что в течение 2023 и 2024 годов злоумышленник проводил дополнительные кампании, направленные на расширения Chrome, используя аналогичные и дополнительные техники. Ниже приведен анализ самой последней кампании, которая была активна до 30 декабря 2024 года.
Чтобы получить необходимые разрешения на публикацию новых версий легитимных расширений в Chrome Web Store, злоумышленник отправлял фишинговые письма разработчикам, пытаясь убедить их разрешить доступ к вредоносному OAuth-приложению Google.
Стоит отметить, что, скорее всего, злоумышленник взял адреса электронной почты разработчиков со страниц расширений в Chrome Web Store, поскольку эта информация находится в открытом доступе.
Нажатие на кнопку «Перейти к политике» перенаправляет на инфраструктуру злоумышленника, например:
- hxxps://app.checkpolicy[.]site/extension-privacy-policy?e=victime[@]example[.]com
- hxxps://app.checkpolicy[.]site/accept-terms-policy?e=victim[@]example[.]com
Эти URL-адреса перенаправляют на легитимную веб-страницу аккаунтов Google, где жертвам предлагается разрешить вредоносному OAuth-приложению доступ к их аккаунту Google.
Получив доступ к приложению под названием «Privacy Policy Extensions», злоумышленник смог развернуть новую версию расширения, содержащую вредоносный код.
Indicators of Compromise
IPv4
- 108.61.23.192
- 136.244.113.231
- 136.244.115.219
- 137.220.48.214
- 140.82.45.42
- 140.82.50.201
- 144.202.101.155
- 149.248.2.160
- 149.248.44.88
- 149.248.56.63
- 149.28.117.236
- 149.28.124.84
- 155.138.253.165
- 185.92.222.127
- 45.76.225.148
- 45.77.185.211
- 45.77.5.196
- 65.20.99.178
Domains
- adsblockforyoutube.site
- adskiper.net
- aiforgemini.com
- bardaiforchrome.live
- blockforads.com
- censortracker.pro
- chataiassistant.pro
- chatgptextension.site
- chatgptextent.pro
- chatgptforsearch.com
- dearflip.pro
- geminiaigg.pro
- geminiforads.com
- goodenhancerblocker.site
- gpt4chrome.live
- gptdetector.live
- gptforads.info
- gptforbusiness.site
- internetdownloadmanager.pro
- iobit.pro
- linewizeconnect.com
- locallyext.ink
- moonsift.store
- openaigptforgg.site
- pieadblock.pro
- promptheusgpt.info
- savechatgpt.site
- savegpt.pro
- savegptforchrome.com
- savegptforyou.live
- savgptforchrome.pro
- searchaiassitant.info
- searchcopilot.co
- searchgptchat.info
- ultrablock.pro
- wakelet.ink
- youtubeadsblocker.live
- ytbadblocker.com
- yujaverity.info
URLs
- https://app.checkpolicy.site/[email protected]
- https://app.checkpolicy.site/[email protected]
- https://gist.github.com/qbourgue/4e42ac21ed5898fd75221a2f1164a107
- https://gist.github.com/qbourgue/b4690045862e6c21fb180dd6dcb6b6b3
Emails
SHA256
- b0827dc54349b10098a7370ada4ea44ba668b264ccca2db5676be1c32e6cc154
- d303047205dabec8e2d34431e920ebe3478ca80a18f57bf454da094aca0e10aa
