Een nieuwe aanvalscampagne heeft zich gericht op bekende Chrome-browserextensies, waardoor ten minste zestien extensies zijn gecompromitteerd en ruim 600.000 gebruikers zijn blootgesteld aan gegevensblootstelling en diefstal van inloggegevens.
De aanval was gericht op uitgevers van browserextensies in de Chrome Web Store via een phishing-campagne en gebruikte hun toegangsrechten om kwaadaardige code in legitieme extensies in te voegen om zo cookies en gebruikerstoegangstokens te stelen.
Het eerste bedrijf waarvan bekend is dat het werd blootgesteld, was cyberbeveiligingsbedrijf Cyberhaven.
Op 27 december maakte Cyberhaven bekend dat een bedreigingsacteur zijn browserextensie had gecompromitteerd en kwaadaardige code had geïnjecteerd om te communiceren met een externe Command and Control (C&C)-server op het domein cyberhavenext(.)pro, om extra configuratiebestanden te downloaden en om gebruikersgegevens te exfiltreren.
“Browserextensies vormen de zachte onderbuik van webbeveiliging”, zegt Or Eshed, CEO van LayerX Security, gespecialiseerd in de beveiliging van browserextensies. “Hoewel we de neiging hebben om browserextensies als onschadelijk te beschouwen, krijgen ze in de praktijk vaak uitgebreide rechten voor gevoelige gebruikersinformatie, zoals cookies, toegangstokens, identiteitsinformatie en meer.
“Veel organisaties weten niet eens welke extensies ze op hun eindpunten hebben geïnstalleerd, en zijn zich niet bewust van de omvang van hun blootstelling”, zegt Eshed.
Toen het nieuws over de Cyberhaven-inbraak bekend werd, werden snel extra extensies geïdentificeerd die ook gecompromitteerd waren en die met dezelfde C&C-server communiceerden.
Jamie Blasco, CTO van SaaS-beveiligingsbedrijf Nudge Security, identificeerde extra domeinen die omzetten naar hetzelfde IP-adres van de C&C-server die werd gebruikt voor de inbreuk op Cyberhaven.
Bijkomende browserextensies waarvan momenteel wordt vermoed dat ze zijn gecompromitteerd, zijn onder meer:
- AI-assistent – ChatGPT en Gemini voor Chrome
- Bard AI-chatextensie
- GPT 4 Samenvatting met OpenAI
- Zoek naar Copilot AI Assistant voor Chrome
- TinaMINd AI-assistent
- Wayin AI
- VPNStad
- Internxt VPN
- Vindoz Flex-videorecorder
- VidHelper-video-downloader
- Maak een bladwijzer van Favicon-wisselaar
- Castorus
- Ustem
- Lezermodus
- Papegaai praat
- Primus
Deze aanvullende gecompromitteerde extensies geven aan dat Cyberhaven geen eenmalig doelwit was, maar onderdeel was van een grootschalige aanvalscampagne gericht op legitieme browserextensies.
Analyse van de gecompromitteerde Cyberhaven geeft aan dat de kwaadaardige code zich richtte op identiteitsgegevens en toegangstokens van Facebook-accounts, en specifiek op zakelijke Facebook-accounts:
Cyberhaven zegt dat de kwaadaardige versie van de browserextensie ongeveer 24 uur nadat deze live ging, werd verwijderd. Sommige van de andere blootgestelde extensies zijn ook al bijgewerkt of verwijderd uit de Chrome Web Store.
Het feit dat de extensie uit de Chrome Store is verwijderd, betekent echter niet dat de bekendheid voorbij is, zegt Or Eshed. “Zolang de gecompromitteerde versie van de extensie nog steeds live op het eindpunt staat, kunnen hackers er nog steeds toegang toe krijgen en gegevens exfiltreren”, zegt hij.
Beveiligingsonderzoekers blijven zoeken naar aanvullende blootgestelde extensies, maar de verfijning en reikwijdte van deze aanvalscampagne hebben voor veel organisaties de lat hoger gelegd bij het beveiligen van hun browserextensies.