Недавно стало известно о многоэтапной атаке на разработчиков популярных расширений Google Chrome. По мере расследования инцидента список пополнился как минимум 35 популярными расширениями с суммарным числом установок 2,5 млн копий. Целью злоумышленников является похищение данных из браузеров пользователей, которые установили троянизированные обновления расширений
В ходе данной кампании преступники фокусировались на похищении учетных данных от сервисов Meta с целью компрометации чужих бизнес-аккаунтов и запуска своей рекламы за чужой счет. Но, в теории, вредоносные расширения позволяют похищать и другие данные из браузера.
Чтобы внедрить троянскую функциональность в популярные расширения Chrome, преступники разработали оригинальную систему фишинга. Они рассылают разработчикам письма, замаскированные под стандартные оповещения Google о том, что расширение нарушает политики Chrome Web Store и его описание необходимо скорректировать. Текст и верстка сообщения хорошо мимикрируют под типовые аналогичные письма Google, поэтому для жертвы письмо выглядит убедительно. Более того, во многих случаях письмо отправляется с домена, специально зарегистрированного для атаки на конкретное расширение и содержащего название расширения прямо в имени домена. Клик по ссылке в письме приводит на легитимную страницу аутентификации Google. Пройдя ее, разработчик видит еще один стандартный экран Google, предлагающий авторизоваться по OAuth и в рамках входа в это приложение дать ему определенные права. Эта стандартная процедура проходит на легитимных страницах Google, только приложение Privacy Policy Extension запрашивает права на публикацию расширений в Web Store. Если разработчик дает такое разрешение, то авторы Privacy Policy Extension получают возможность публикации обновлений в Web Store от лица жертвы.
В данном случае атакующие не крадут пароль и другие реквизиты доступа разработчика, не обходят MFA. Они просто злоупотребляют системой Google по делегированию прав, чтобы выманить у разработчика разрешение на обновление его расширения. Судя по длинному списку зарегистрированных злоумышленниками доменов, они пытались атаковать гораздо больше, чем 35 расширений. В тех случаях, когда атака проходила успешно, они выпускали обновленную версию расширения, добавляя в него два файла, ответственные за кражу куки-файлов и данных Facebook.
Расширения в Chrome, как правило, обновляются автоматически, поэтому те пользователи, которые включали свой компьютер в период с 25 по 31 декабря и запускали Chrome, могли получить зараженное обновление ранее установленного расширения. Если пользователь получил скомпрометированное обновление, вредоносный скрипт начинает работать в его браузере, отправляя на сервер злоумышленников нужные им данные для компрометации бизнес-аккаунта Facebook. Кроме этого зловред крадет другую информацию, требуемую для успешного входа в рекламный кабинет, например идентификатор браузера (user-agent). На сайте перехватываются даже данные о кликах мыши, чтобы помогать преступникам обойти капчу и двухфакторную аутентификацию. Если жертва управляет рекламой своей организации или частного бизнеса, то преступники получают возможность тратить рекламный бюджет организации и размещать новую рекламу. Обычно злоумышленники начинают продвижение мошеннических схем и вредоносных сайтов (malvertising). Кроме прямых финансовых потерь для атакованной организации это несет юридические и репутационные риски, ведь мошенническая реклама публикуется от ее имени. Вредоносные функции в принципе позволяют похищать данные и от других сайтов.
Чтобы прекратить кражу информации из браузера, нужно удалить скомпрометированное расширение или обновить его до уже вылеченной версии. На авторском сайте ведется список всех известных зараженных расширений с указанием статуса исправления. К сожалению, просто удалить или обновить зараженное расширение недостаточно. Во-первых, нужно обновить пароли и API-ключи, которые были сохранены в браузере или использовались в период инцидента. Во-вторых, нужно изучить доступные логи, чтобы проверить, велась ли коммуникация с серверами атакующих. Если коммуникация велась, необходимо искать следы несанкционированного доступа во всех сервисах, которые были открыты в зараженном браузере. В-третьих, если из зараженного браузера имелся доступ к рекламным кабинетам необходимо вручную проверить всю запущенную рекламу и при необходимости удалить и отключить любую несанкционированную рекламную активность. После этого необходимо деактивировать сессии скомпрометированной учетной и сменить пароль для учетной записи.
Проблема троянизации обновлений является еще одной разновидностью атаки на цепочку поставок. В случае с Chrome она усугубляется тем, что обновления устанавливаются автоматически и незаметно для пользователя. И хотя обычно обновления — это якобы благо, в данном случае механизм автообновления позволил быстро распространить вредоносное расширение. Чтобы снизить риски этого сценария, организациям рекомендовано отключить автоматические обновления и выполнять их вручную по запросу.
Компаниям, которые публикуют ПО, в том числе веб-расширения, необходимо убедиться, что права на публикацию доступны минимальному числу сотрудников и в идеале — только со специального компьютера, защищенного дополнительными слоями защиты, включая многофакторную аутентификацию и строгие настройки контроля запуска приложений и доступа к веб-сайтам.
По материалам Касперский