2min Security

Zestien Chrome-extensies gehackt: gegevensdiefstal treft ruim 600.000 gebruikers

Zestien Chrome-extensies gehackt: gegevensdiefstal treft ruim 600.000 gebruikers

Een nieuwe aanvalscampagne heeft geleid tot de compromittering van minstens zestien bekende Chrome-extensies, waardoor meer dan 600.000 gebruikers zijn blootgesteld aan gegevensdiefstal en diefstal van inloggegevens.

De aanval richtte zich op uitgevers van extensies in de Chrome Web Store via een phishingcampagne. Door toegang te krijgen tot hun machtigingen konden de aanvallers kwaadaardige code injecteren in legitieme extensies. Deze code werd gebruikt om cookies en toegangstokens van gebruikers te stelen.

Gegevensdiefstal

De eerste melding van de campagne kwam van Cyberhaven, een cybersecuritybedrijf waarvan een medewerker op 24 december slachtoffer werd van een phishingaanval. Hierdoor konden de aanvallers een kwaadaardige versie van hun extensie publiceren. Drie dagen later, op 27 december, onthulde Cyberhaven dat een bedreigingsactor hun extensie had gecompromitteerd. De kwaadwillende code communiceerde met een externe command-and-control (C&C)-server op het domein cyberhavenext[.]pro, downloadde aanvullende configuratiebestanden en exfiltreerde gebruikersgegevens.

Phishingmail

De phishingmail, die zogenaamd afkomstig was van Google Chrome Web Store Developer Support, waarschuwde voor een vermeende schending van de ontwikkelaarsrichtlijnen. Het bericht spoorde de ontvanger aan om op een link te klikken om de regels te accepteren. Dit leidde naar een pagina waar machtigingen werden verleend aan een schadelijke OAuth-applicatie genaamd ‘Privacy Policy Extension’.

“De aanvaller verkreeg de nodige machtigingen via deze applicatie en uploadde een kwaadaardige extensie naar de Chrome Web Store”, aldus Cyberhaven. Na de gebruikelijke veiligheidscontrole van de Chrome Web Store werd de kwaadaardige extensie goedgekeurd en gepubliceerd.

Browserextensies

Or Eshed, CEO van LayerX Security, benadrukt: “Browserextensies zijn de zwakke plek in de beveiliging van het web. Hoewel ze onschuldig lijken, krijgen ze vaak uitgebreide machtigingen tot gevoelige gebruikersinformatie, zoals cookies en identiteitgegevens.”

Na de onthulling van de Cyberhaven-inbreuk werden aanvullende gecompromitteerde extensies ontdekt die met dezelfde C&C-server communiceerden. Jamie Blasco, CTO van Nudge Security, identificeerde meerdere domeinen die aan dezelfde server waren gekoppeld.

Deze incidenten onderstrepen de kwetsbaarheid van browserextensies en het belang van strenge beveiligingsmaatregelen.