ظهرت تفاصيل جديدة حول حملة تصيد احتيالي استهدفت مطوري ملحقات متصفح Chrome والتي أدت إلى اختراق ما لا يقل عن خمسة وثلاثين امتدادًا لحقن أكواد سرقة البيانات، بما في ذلك تلك التابعة لشركة Cyberhaven للأمن السيبراني.
بالرغم من”https://www.bleepingcomputer.com/news/security/cybersecurity-firms-chrome-extension-hijacked-to-steal-users-data/” الهدف=”_blank” rel=”nofollow noopener”> التقارير الأولية ركزت التحقيقات اللاحقة على امتداد Cyberhaven الذي يركز على الأمان، وكشفت التحقيقات اللاحقة أنه تم إدخال نفس الكود في ما لا يقل عن”https://www.extensiontotal.com/cyberhaven-incident-live” الهدف=”_blank” rel=”nofollow noopener”> 35 ملحقات يستخدمها بشكل جماعي ما يقرب من 2,600,000 شخص.
من التقارير على”https://www.linkedin.com/feed/update/urn:li:activity:7270379007265714177/” الهدف=”_blank” rel=”nofollow noopener”> لينكد إن و”http://groups.google.com/a/chromium.org/g/chromium-extensions/c/mJn0ynfgNq8?pli=1″ الهدف=”_blank” rel=”nofollow noopener”> مجموعات جوجل من المطورين المستهدفين، بدأت الحملة الأخيرة في الخامس من ديسمبر 2024 تقريبًا. ومع ذلك، كانت النطاقات الفرعية السابقة للقيادة والتحكم التي عثر عليها BleepingComputer موجودة منذ مارس 2024.
“I just wanted to alert people to a more sophisticated phishing email than usual that we got that stated a Chrome Extension policy violation of the form: ‘Unnecessary details in the description’,” يقرأ المنشور في مجموعة Chromium Extension التابعة لمجموعة Google.
“The link in this email looks like the webstore but goes to a phishing website that will try to take control of your chrome extension and likely update it with malware.”
سلسلة هجوم OAuth خادعة
يبدأ الهجوم برسالة بريد إلكتروني تصيدية يتم إرسالها إلى مطوري ملحقات Chrome مباشرة أو من خلال بريد إلكتروني للدعم مرتبط باسم المجال الخاص بهم.
من رسائل البريد الإلكتروني التي شاهدتها BleepingComputer، تم استخدام النطاقات التالية في هذه الحملة لإرسال رسائل البريد الإلكتروني التصيدية:
supportchromestore.comforextensions.comchromeforextension.comتدعي رسالة البريد الإلكتروني التصيدية، التي تم تصميمها لتظهر كما لو أنها واردة من Google، أن الامتداد ينتهك سياسات سوق Chrome الإلكتروني وهو معرض لخطر الإزالة.
“We do not allow extensions with misleading, poorly formatted, non-descriptive, irrelevant, excessive, or inappropriate metadata, including but not limited to the extension description, developer name, title, icon, screenshots, and promotional images,” يقرأ البريد الإلكتروني التصيد.
على وجه التحديد، يعتقد مطور الإضافة أن وصف برنامجه يحتوي على معلومات مضللة ويجب أن يوافق على سياسات سوق Chrome الإلكتروني.
المصدر: مجموعات جوجل
إذا نقر المطور على زر “الانتقال إلى السياسة” المضمن في محاولة لفهم القواعد التي انتهكها، فسيتم نقله إلى صفحة تسجيل دخول شرعية على نطاق Google بحثًا عن تطبيق OAuth ضار.
تعد الصفحة جزءًا من تدفق التفويض القياسي من Google، وهو مصمم لمنح أذونات لتطبيقات الجهات الخارجية بشكل آمن للوصول إلى موارد حساب Google المحددة.
المصدر: سايبرهافن
على تلك المنصة، استضاف المهاجم تطبيق OAuth ضار اسمه “Privacy Policy Extension” التي طلبت من الضحية منح الإذن لإدارة ملحقات سوق Chrome الإلكتروني من خلال حسابه.
“When you allow this access, Privacy Policy Extension will be able to: See, edit, update, or publish your Chrome Web Store extensions, themes, apps, and licenses you have access to,” يقرأ صفحة ترخيص OAuth.
المصدر: سايبرهافن
لم تساعد المصادقة متعددة العوامل في حماية الحساب لأن الموافقات المباشرة في تدفقات تفويض OAuth ليست مطلوبة، وتفترض العملية أن المستخدم يفهم تمامًا نطاق الأذونات التي يمنحها.
“The employee followed the standard flow and inadvertently authorized this malicious third-party application,” يشرح سايبرهافن في كتابة ما بعد الوفاة.
“The employee had Google Advanced Protection enabled and had MFA covering his account. The employee did not receive an MFA prompt. The employee’s Google credentials were not compromised.”
بمجرد أن تمكن ممثلو التهديد من الوصول إلى حساب مطور الامتداد، قاموا بتعديل الامتداد ليشمل ملفين ضارين، وهما “worker.js” و”content.js”، اللذين يحتويان على تعليمات برمجية لسرقة البيانات من حسابات Facebook.
تم بعد ذلك نشر الامتداد المختطف كملف “new” الإصدار على سوق Chrome الإلكتروني.
بينما يتم تتبع إجمالي الامتداد”https://www.extensiontotal.com/cyberhaven-incident-live” الهدف=”_blank” rel=”nofollow noopener”> خمسة وثلاثون امتدادا وتأثرًا بحملة التصيد الاحتيالي هذه، تشير شركات النفط الدولية من الهجوم إلى أنه تم استهداف عدد أكبر بكثير.
وفق”https://www.virustotal.com/gui/ip-address/149.248.2.160/relations” الهدف=”_blank” rel=”nofollow noopener”> إجمالي الفيروسات، قامت الجهات الفاعلة في مجال التهديد بتسجيل النطاقات مسبقًا للملحقات المستهدفة، حتى لو لم تسقط في الهجوم.
وبينما تم إنشاء معظم النطاقات في نوفمبر وديسمبر، وجدت BleepingComputer أن الجهات الفاعلة في التهديد كانت تختبر هذا الهجوم في مارس 2024.
المصدر: بليبينج كومبيوتر
استهداف حسابات الفيسبوك التجارية
وأظهر تحليل الأجهزة المخترقة أن المهاجمين كانوا يلاحقون حسابات فيسبوك لمستخدمي الامتدادات المسمومة.
على وجه التحديد، حاول رمز سرقة البيانات الاستيلاء على معرف Facebook الخاص بالمستخدم، ورمز الوصول، ومعلومات الحساب، ومعلومات الحساب الإعلاني، وحسابات الأعمال.
المصدر: سايبرهافن
بالإضافة إلى ذلك، أضافت التعليمات البرمجية الضارة مستمعًا لحدث النقر بالماوس خصيصًا لتفاعلات الضحية على Facebook.com، بحثًا عن صور رمز الاستجابة السريعة المتعلقة بالمصادقة الثنائية للنظام الأساسي أو آليات CAPTCHA.
يهدف هذا إلى تجاوز إجراءات الحماية 2FA على حساب Facebook والسماح للجهات الفاعلة في مجال التهديد باختطافه.
سيتم تجميع المعلومات المسروقة مع ملفات تعريف الارتباط الخاصة بـ Facebook، وسلسلة وكيل المستخدم، ومعرف Facebook، وأحداث النقر بالماوس، ويتم تسريبها إلى خادم القيادة والتحكم (C2) الخاص بالمهاجم.
وكانت الجهات الفاعلة التهديد”https://www.bleepingcomputer.com/news/security/linkedin-phishing-target-employees-managing-facebook-ad-accounts/” الهدف=”_blank” rel=”nofollow noopener”> استهداف حسابات فيسبوك التجارية عبر”https://www.bleepingcomputer.com/news/security/ducktail-hackers-now-use-whatsapp-to-phish-for-facebook-ad-accounts/” الهدف=”_blank” rel=”nofollow noopener”> مسارات الهجوم المختلفة لإجراء مدفوعات مباشرة من رصيد الضحية إلى حسابه، أو تشغيل حملات تضليل أو تصيد على منصة التواصل الاجتماعي، أو تحقيق الدخل من وصوله عن طريق بيعه للآخرين.