Yeni bir saldırı kampanyası, bilinen Chrome tarayıcı uzantılarını hedef alarak en az 16 uzantının tehlikeye girmesine ve 600.000’den fazla kullanıcının veri sızıntısı ve kimlik bilgisi hırsızlığına maruz kalmasına neden oldu.
Saldırı, Chrome Web Mağazası’ndaki tarayıcı uzantılarının yayıncılarını hedef alan bir kimlik avı kampanyası yoluyla gerçekleştirildi. Saldırganlar, bu yayıncıların erişim izinlerini kullanarak meşru uzantılara kötü amaçlı kod ekledi ve çerezleri ve kullanıcı tokenlarını çaldı.
İlk olarak siber güvenlik firması Cyberhaven’ın etkilendiği tespit edildi. 27 Aralık’ta Cyberhaven, bir tehdit aktörünün tarayıcı uzantısını tehlikeye atarak cyberhavenext[.]pro alan adında bulunan harici bir Komuta ve Kontrol (C&C) sunucusuyla iletişim kuran, ek yapılandırma dosyaları indiren ve kullanıcı verilerini dışarı sızdıran kötü amaçlı kod enjekte ettiğini açıkladı.
Tarayıcı uzantıları, web güvenliğinin yumuşak karnıdır. Tarayıcı uzantılarını zararsız olarak düşünme eğiliminde olsak da, pratikte bunlar genellikle çerezler, Tokenlar, kimlik bilgileri ve daha fazlası gibi hassas kullanıcı bilgilerine geniş erişim izinleri verilir. Birçok kuruluş, uç noktalarında hangi uzantıların yüklü olduğunu bile bilmez ve maruz kalma düzeylerinin farkında değildir.
Cyberhaven ihlalinin duyulmasının ardından, aynı C&C sunucusuyla iletişim kuran ek tehlikeye girmiş uzantılar hızla tespit edildi. SaaS güvenlik şirketi Nudge Security’nin CTO’su Jamie Blasco, Cyberhaven ihlalinde kullanılan C&C sunucusunun IP adresine çözümleyen ek alan adlarını belirledi.
Şu anda tehlikeye girdiği düşünülen ek tarayıcı uzantıları şunlardır:
- AI Assistant – ChatGPT ve Gemini for Chrome
- Bard AI Chat Extension
- GPT 4 Summary with OpenAI
- Search Copilot AI Assistant for Chrome
- TinaMInd AI Assistant
- Wayin AI
- VPNCity
- Internxt VPN
- Vindoz Flex Video Recorder
- VidHelper Video Downloader
- Bookmark Favicon Changer
- Castorus
- Uvoice
- Reader Mode
- Parrot Talks
- Primus
Bu ek tehlikeye girmiş uzantılar, Cyberhaven’ın tek seferlik bir hedef olmadığını, meşru tarayıcı uzantılarını hedef alan geniş çaplı bir saldırı kampanyasının parçası olduğunu göstermektedir.
Cyberhaven’ın analizine göre, kötü amaçlı kod, Facebook hesaplarının ve özellikle Facebook iş hesaplarının kimlik bilgilerini ve Tokenları hedef aldı.
Cyberhaven, tarayıcı uzantısının kötü amaçlı sürümünün yayına girdikten yaklaşık 24 saat sonra kaldırıldığını belirtti. Diğer bazı tehlikeye girmiş uzantılar da Chrome Web Mağazası’ndan güncellendi veya kaldırıldı.
Ancak, uzantının Chrome mağazasından kaldırılmış olması, maruziyetin sona erdiği anlamına gelmez. Tehlikeye girmiş uzantının sürümü uç noktada hala aktif olduğu sürece, saldırganlar ona erişebilir ve veri sızdırabilir.
Güvenlik araştırmacıları, ek tehlikeye girmiş uzantıları tespit etmeye devam ediyor, ancak bu saldırı kampanyasının sofistike yapısı ve kapsamı, birçok kuruluş için tarayıcı uzantılarını güvence altına alma konusunda çıtayı yükseltti.
