Sfârșitul anului trecut s-a încheiat cu un atac cibernetic destul de amplu, care a ieșit la iveală în urmă cu câteva zile. Atacatorii au încercat să exploateze o vulnerabilitate în sistemul de autentificare a dezvoltatorilor Google Web Store, și se pare că au reușit.
Atacurile au folosit tehnici sofisticate cunoscute sub numele de spear phishing, care vizează în mod specific anumite persoane sau grupuri mai mici de persoane, folosind metode care să atragă atenția țintei, care apoi intră în capcana infractorilor cibernetici și ar putea preda informații sensibile. Ca urmare a acestei serii sofisticate de atacuri, mulți dezvoltatori de extensii Chrome au fost afectate, infractorii cibernetici obținându-le datele de autentificare și modificând extensii populare pentru a planta coduri malițioase.
Incidentul a fost detectat de experții Cyberheaven, care dezvoltă o extensie specială pentru a ajuta utilizatorii să evite furnizarea involuntară de informații confidențiale sensibile prin diverse e-mailuri sau site-uri web. Acesta a fost primul dintre plug-in-urile vizate care a fost atacat de infractorii cibernetici cu succes. Este posibil ca atacul să fi avut loc în seara zilei de 24 Decembrie 2024, și se pare că nu numai extensia Cyberheaven a fost afectat, ci și extensii ale mai multor companii.
Extensia Cyberheaven, versiunea 24.10.4, a fost disponibilă timp de aproximativ 31 ore, adică utilizatorii au putut să o descarce pe 25 și 26 Decembrie. Evident, cei care utilizaseră deja o versiune anterioară au primit codul malițios în mod automat la prima deschidere a unei pagini web, iar codul malițios a fost executat automat. Codul a descărcat conținut de pe diverse site-uri care imitau site-ul oficial Cyberheaven.
Ca urmare a investigației mai ample, au fost vizate cel puțin alte 19 extensii infectate. Acest lucru a fost subliniat de John Tuckner, fondatorul Secure Annex, care conduce o companie de analiză și gestionare a extensiilor. În celelalte cazuri, atacatorii au folosit tehnici sofisticate de phishing pentru a obține datele de cont ale dezvoltatorilor vizați. În total, au fost infectate cel puțin 20 plugin-uri și cel puțin 1,46 milioane de sisteme au descărcat fișierele infectate. Experții în securitate analizează în prezent fișierele și codul malițios pentru a vedea dacă plug-in-urile malițioase au reușit să obțină date sensibile.
Din păcate, acesta nu este un incident fără precedent, deoarece atacuri similare au avut loc deja în 2019, când extensiile Firefox au fost atacate alături de Chrome, compromițând cel puțin patru milioane de dispozitive, inclusiv cele aparținând rețelelor unor companii mari precum Tesla, Symantec și Blue Origin.
Investigații suplimentare au arătat că un plug-in popular numit Reader Mode a fost ținta unui atac anterior, care a dus la injectarea de cod malițios, și că versiunea infectată a prădat victimele neștiutoare pentru o perioadă foarte lungă de timp, începând cu Aprilie 2023. Analiza arată că extensia infectată a fost rulat continuu. În total, alte 13 extensii au utilizat extensia infectată ca o bibliotecă suplimentară, permițându-i să ajungă la un total de 1,14 milioane sisteme, și să colecteze date sensibile.
Ca urmare, aceste extensii ar trebui utilizate cu extremă precauție, deoarece prezintă o serie de riscuri de securitate. Truckner spune că organizațiile responsabile de browsere ar trebui să creeze o listă de extensii, cu doar cele care sunt absolut necesare și obligatorii, și să interzică pur și simplu utilizarea altora.
