Khi nhiều người trong chúng ta kỷ niệm kỳ nghỉ cuối năm, một nhóm nhỏ các nhà nghiên cứu đã làm việc ngoài giờ để theo dõi một khám phá đáng kinh ngạc: Ít nhất 33 tiện ích mở rộng trình duyệt được lưu trữ trong Cửa hàng Chrome trực tuyến của Google, một số kéo dài tới 18 tháng, đã lén lút bòn rút dữ liệu nhạy cảm từ khoảng 2,6 triệu thiết bị.
Những thỏa hiệp đã được đưa ra ánh sáng với khám phá bởi dịch vụ ngăn ngừa mất dữ liệu Cyberhaven mà tiện ích mở rộng Chrome được sử dụng bởi 400.000 khách hàng của họ đã được cập nhật mã đánh cắp dữ liệu nhạy cảm của họ.
’Twas vào đêm trước Giáng sinh
Tiện ích mở rộng độc hại, có sẵn dưới dạng phiên bản 24.10.4, có sẵn trong 31 giờ, từ ngày 25 tháng 12 lúc 1:32 sáng UTC đến ngày 26 tháng 12 lúc 2:50 sáng UTC. Các trình duyệt Chrome chủ động chạy Cyberhaven trong cửa sổ đó sẽ tự động tải xuống và cài đặt mã độc. Cyberhaven phản hồi bằng cách phát hành phiên bản 24.10.5 và 24.10.6 vài ngày sau đó.
Tiện ích mở rộng Cyberhaven được thiết kế để ngăn người dùng vô tình nhập dữ liệu nhạy cảm vào email hoặc trang web họ truy cập. Các phân tích của phiên bản 24.10.4 cho thấy rằng nó đã được cấu hình để làm việc với các tải trọng khác nhau đã được tải về từ cyberhavenext[.]pro, một trang web độc hại mà tác nhân đe dọa đã đăng ký để cung cấp cho sự xuất hiện của nó được liên kết với công ty. Một trọng tải được phục hồi, Cyberhaven nói rằng, quét các thiết bị người dùng để tìm cookie trình duyệt và thông tin xác thực cho miền facebook.com. Một payload riêng biệt phục hồi bởi công ty bảo mật Secure Annex đã đánh cắp cookie và thông tin đăng nhập cho chatgpt.com; cyberhaven cho biết tải trọng đã không xuất hiện chức năng.
Phiên bản độc hại xuất hiện thông qua một email lừa đảo trực tuyến được gửi đến các nhà phát triển mà Google đã liệt kê cho tiện ích mở rộng Cyberhaven vào đêm Giáng sinh. Nó cảnh báo rằng tiện ích mở rộng không tuân thủ các điều khoản của Google và sẽ bị thu hồi trừ khi nhà phát triển hành động ngay lập tức.
Nh chụp màn hình hiển thị email lừa đảo được gửi đến các nhà phát triển tiện ích mở rộng Cyberhaven. Tín dụng: Amit Assaraf
Một liên kết trong email dẫn đến màn hình chấp thuận của Google yêu cầu quyền truy cập đối với một OAuth ứng dụng có tên Tiện ích mở rộng chính sách quyền riêng tư. Một nhà phát triển Cyberhaven đã cấp quyền và trong quá trình đó, đã vô tình cho kẻ tấn công khả năng tải lên các phiên bản mới của tiện ích mở rộng Chrome của Cyberhaven lên Cửa hàng Chrome trực tuyến. Kẻ tấn công sau đó đã sử dụng quyền để loại bỏ phiên bản độc hại 24.10.4.
Nh chụp màn hình hiển thị yêu cầu cấp phép của Google. Tín dụng: Amit Assaraf
Khi tin tức về cuộc tấn công lan truyền vào rạng sáng ngày 25 tháng 12, các nhà phát triển và nhà nghiên cứu đã phát hiện ra rằng các tiện ích mở rộng khác đã bị nhắm mục tiêu, trong nhiều trường hợp thành công, bởi cùng một chiến dịch lừa đảo trực tuyến. John Tuckner, người sáng lập Secure Annex, một công ty quản lý và phân tích tiện ích mở rộng trình duyệt, cho biết tính đến chiều thứ Năm, ông đã biết về 19 tiện ích mở rộng Chrome khác cũng bị xâm phạm tương tự. Trong mọi trường hợp, kẻ tấn công đã sử dụng tính năng lừa đảo trực tuyến để đẩy một phiên bản độc hại mới và các miền trông giống nhau, tùy chỉnh để phát hành tải trọng và nhận thông tin xác thực. Tổng cộng, 20 tiện ích mở rộng đã có 1,46 triệu lượt tải xuống.
“Đối với nhiều người mà tôi nói chuyện, việc quản lý các tiện ích mở rộng trình duyệt có thể là mục có mức độ ưu tiên thấp hơn trong chương trình bảo mật của họ,” Tuckner viết trong email. “Mọi người biết rằng họ có thể gây ra mối đe dọa, nhưng hiếm khi các đội hành động chống lại họ. Chúng tôi thường thấy trong bảo mật [rằng] một hoặc hai sự cố có thể gây ra sự đánh giá lại về tư thế bảo mật của tổ chức. Những sự cố như thế này thường dẫn đến việc các nhóm phải tranh giành để tìm cách đạt được khả năng hiển thị và hiểu biết về tác động đối với tổ chức của họ.”
Thỏa hiệp sớm nhất xảy ra vào tháng 5 năm 2024. Tuckner đã cung cấp bảng tính sau:
Tên
ID
Phiên bản
Bản vá
Có sẵn
Người dùng
Bắt đầu
Kết thúc
VPNThành phố
nnpnnpemnckcfdebeekibpiijlicmpom
2.0.1
GIẢ DỐI
10.000
12/12/24
31/12/24
Cuộc nói chuyện về vẹt
kkodiihpgodmdankclfibbiphjkfdenh
1.16.2
ĐÚNG THẬT
40.000
25/12/24
31/12/24
Uvoice
oaikpkmjciadfpddlpjjdapglcihgdle
1.0.12
ĐÚNG THẬT
40.000
26/12/24
31/12/24
VPN quốc tế
dpggmcodlahmljkhlmpgpdcffdaocni
1.1.1
1.2.0
ĐÚNG THẬT
10.000
25/12/24
29/12/24
Đánh dấu Favicon Changer
acmfnomgphggonodopogfbmkneepfgnh
4 giờ
ĐÚNG THẬT
40.000
25/12/24
31/12/24
Castorus
mnhffkhmpnefgklngfmlndmkimimbphc
4,40
4,41
ĐÚNG THẬT
50.000
26/12/24
27/12/24
Wayin AI
cedgndijpacnfbdggppddacngjfdkaca
0,0,11
ĐÚNG THẬT
40.000
19/12/24
31/12/24
Tìm kiếm Trợ lý AI Copilot cho Chrome
bbdnohkpnbkdkmnkddobeafboooinpla
1.0.1
ĐÚNG THẬT
20.000
17/7/24
31/12/24
Trình tải xuống video VidHelper –
egmennebgadmncfjafcemlecimkepcle
2.2.7
ĐÚNG THẬT
20.000
26/12/24
31/12/24
Trợ lý AI – ChatGPT và Gemini cho Chrome
bibjgkidgpfbblifamdlkdlhgihmfohh
0,1,3
GIẢ DỐI
4.000
31/5/24
25/10/24
TinaMind – Trợ lý AI hỗ trợ GPT-4o!
befflofjcniongenjmbkgkoljhgliihe
2.13.0
2.14.0
ĐÚNG THẬT
40.000
15/12/24
20/12/24
Trò chuyện Bard AI
pkgciiiancapdlpcbppfkmeaieppikkk
1.3.7
GIẢ DỐI
100.000
5/9/24
22/10/24
Chế độ đọc
llimhhconnjiflfimocjggfjdlmlhblm
1.5.7
GIẢ DỐI
300.000
18/12/24
19/12/24
Primus (prev. PADO)
oeiomhmbaapihbilkfkhmlajkeegnjhe
3.18.0
3.20.0
ĐÚNG THẬT
40.000
18/12/24
25/12/24
Phần mở rộng bảo mật Cyberhaven V3
pajkjnmeojmbapicmbpliphjmcekeaac
24.10.4
24.10.5
ĐÚNG THẬT
400.000
24/12/24
26/12/24
Thanh tra mạng GraphQL
ndlbedplllcgconngcnfmkadhokfaaln
2.22.6
2.22.7
ĐÚNG THẬT
80.000
29/12/24
30/12/24
GPT 4 Tóm tắt với OpenAI
epdjhgbipjpbbhoccdeipghoihibnfja
1,4
GIẢ DỐI
10.000
31/5/24
29/9/24
Vidnoz Flex – Đầu ghi video & Chia sẻ video
cplhlgabfijoiabgkigdafklbhhdkahj
1.0.161
GIẢ DỐI
6.000
25/12/24
29/12/24
Trợ lý YesCaptcha
jiofmdifioeejeilfkpegipdjiopiekl
1.1.61
ĐÚNG THẬT
200.000
29/12/24
31/12/24
Proxy SwitchyOmega (V3)
hihblcmlaaademjlakdpicchbjnnnkbo
3.0.2
ĐÚNG THẬT
10.000
30/12/24
31/12/24
Nhưng chờ đã, còn nữa
Một trong những phần mở rộng bị xâm phạm được gọi là Chế độ đọc". Phân tích sâu hơn cho thấy nó đã bị xâm phạm không chỉ trong chiến dịch nhắm vào 19 tiện ích mở rộng khác mà còn trong một chiến dịch riêng biệt bắt đầu không muộn hơn tháng 4 năm 2023. Tuckner cho biết nguồn gốc của sự thỏa hiệp dường như là do các nhà phát triển thư viện mã có thể sử dụng để kiếm tiền từ các tiện ích mở rộng của họ. Thư viện mã thu thập thông tin chi tiết về mỗi lần truy cập web mà trình duyệt thực hiện. Để đổi lấy việc kết hợp thư viện vào các tiện ích mở rộng, các nhà phát triển sẽ nhận được hoa hồng từ người tạo thư viện.
Tuckner nói rằng Reader Mode là một trong 13 tiện ích mở rộng của Chrome được biết là đã sử dụng thư viện để thu thập dữ liệu có khả năng nhạy cảm. Tổng cộng, các tiện ích mở rộng này có 1,14 triệu lượt cài đặt. Danh sách đầy đủ là:
Tên
ID
Phiên bản
Bản vá
Có sẵn
Người dùng
Bắt đầu
Kết thúc
Chế độ đọc
llimhhconnjiflfimocjggfjdlmlhblm
1.5.7
GIẢ DỐI
300.000
18/12/24
19/12/24
Công cụ keylogger trực tuyến Tackker –
ekpkdmohpdnebfedjjfklhpefgpgaaji
1.3
1,4
ĐÚNG THẬT
10.000
6/10/23
13/8/24
Bạn bè cửa hàng AI
epikoohpebngmakjinphfiagogjcnddm
2.7.3
ĐÚNG THẬT
4.000
30/4/24
Sắp xếp theo Cũ nhất
miglaibdlgminlepgeifekifakochlka
1.4.5
ĐÚNG THẬT
2.000
11/1/24
Phần thưởng Search Automator
eanofdhdfbcalhflpbdipkjjkoimeeod
1.4.9
ĐÚNG THẬT
100.000
4/5/24
Kiếm tiền – Hoàn tiền lên tới 20%
ogbhbgkiojdollpjbhbamafmedkeockb
1.8.1
ĐÚNG THẬT
100,00
5/4/23
Trợ lý ChatGPT – Tìm kiếm thông minh
bgejafhieobnfpjlpcjjggoboebonfcg
1.1.1
ĐÚNG THẬT
189
2/12/24
Máy ghi lịch sử bàn phím
igbodamhgjohafcenbcljfegbipdfjpk
2.3
ĐÚNG THẬT
5.000
29/7/24
Thợ săn email
mbindhfolmpijhodmgkloeeppmkhpmhc
1,44
ĐÚNG THẬT
100.000
17/9/24
Hiệu ứng hình ảnh cho Google Meet
hodiladlefdpcbemnbbcpclbmknkiaem
3.1.3
3.2.4
ĐÚNG THẬT
900.000
13/6/23
10/1/24
Ứng dụng ChatGPT
lbneaaedflankmgmfbmaplggbmjjmbae
1.3.8
ĐÚNG THẬT
7.000
3/9/24
Gương Web
eaijffijbobmnonfhilihbejadplhddo
2.4
ĐÚNG THẬT
4.000
13/10/23
Chào AI
hmiaoahjllhfgebflooeeefeiafpkfde
1.0.0
ĐÚNG THẬT
229
29/7/24
Như Tuckner đã chỉ ra, các tiện ích mở rộng trình duyệt từ lâu vẫn là một mắt xích yếu trong chuỗi bảo mật. Ví dụ: vào năm 2019, các tiện ích mở rộng cho cả Chrome và Firefox đều bị phát hiện đánh cắp dữ liệu nhạy cảm 4 triệu thiết b. Nhiều thiết bị bị nhiễm chạy bên trong mạng của hàng chục công ty, bao gồm Tesla, Blue Origin, FireEye, Symantec, TMobile và Reddit. Trong nhiều trường hợp, việc hạn chế mối đe dọa từ các tiện ích mở rộng độc hại rất dễ dàng vì rất nhiều tiện ích mở rộng không mang lại lợi ích hữu ích nào.
Trong trường hợp các tiện ích mở rộng bị lạm dụng khác, chẳng hạn như tiện ích được khách hàng Cyberhaven sử dụng, việc giải quyết mối đe dọa không dễ dàng như vậy. Rốt cuộc, tiện ích mở rộng cung cấp một dịch vụ mà nhiều tổ chức thấy có giá tr. Tuckner cho biết một phần tiềm năng của giải pháp là để các tổ chức biên dịch danh sách quản lý tài sản trình duyệt chỉ cho phép các tiện ích mở rộng được chọn chạy và chặn tất cả các tiện ích mở rộng khác. Ngay cả khi đó, khách hàng của Cyberhaven vẫn sẽ cài đặt phiên bản tiện ích mở rộng độc hại trừ khi danh sách quản lý tài sản chỉ định một phiên bản cụ thể để tin tưởng và không tin tưởng tất cả những phiên bản khác.
Bất kỳ ai chạy một trong những tiện ích mở rộng bị xâm phạm này nên cân nhắc cẩn thận việc thay đổi mật khẩu và thông tin xác thực khác. Bài đăng trong Phụ lục An toàn cung cấp các chỉ số thỏa hiệp bổ sung, cũng như các bài đăng đây, đây, đây, và đây.
.jpg)
.jpg)