Masz Google Chrome i te rozszerzenia? Twoje dane są zagrożone

Specjaliści znaleźli w sumie 16 rozszerzeń dla przeglądarki Google Chrome, które zostały przejęte przez cyberprzestępców. Dane ponad 600 tysięcy użytkowników zostały narażone na kradzież. 

Śledztwo zaczęło się od rozszerzenia firmy Cyberhaven – pierwszej ofiary, która poinformowała o tym, że jej rozszerzenie zawierało szkodliwy kod. Jak do tego doszło? Konta wydawców rozszerzeń w Chrome Web Store zostały przejęte z pomocą ataków phishingowych na deweloperów.

Cyberprzestępcy, mając dostęp do platformy, udostępnili tam wersje rozszerzeń z dodanym własnym kodem. Rozszerzenia działały prawidłowo, ale czekały na polecenia od cyberprzestępców, by wykonać dodatkowe zadania. Celem było wykradanie tokenów dostępu do różnych usług internetowych oraz plików cookie. Były to między innymi dane pozwalające dostać się do kont na Facebooku, w szczególności do profili firmowych. To możliwe, bo wiele rozszerzeń ma bardzo szerokie uprawnienia, w tym do wrażliwych danych.

Po rozszerzeniu Cyberhaven specjaliści szybko znaleźli cztery: Internxt VPN, VPNCity, Uvoice i ParrotTalks. Kolejną porcję podał Jamie Blasco, CTO firmy Nudge Security:

• AI Assistant - ChatGPT and Gemini for Chrome,
• Bard AI Chat Extension,
• GPT 4 Summary with OpenAI,
• Search Copilot AI Assistant for Chrome,
• TinaMInd AI Assistant,
• Wayin AI,
• Vindoz Flex Video Recorder,
• VidHelper Video Downloader,
• Bookmark Favicon Changer,
• Castorus,
• Reader Mode,
• Primus,

Wymienione wyżej rozszerzenia komunikowały się z tym samym serwerem C&C, którego używali atakujący Cyberheaven. Oznacza to, że firma była częścią większej kampanii. Niewykluczone, że lista jeszcze będzie się wydłużać.