ظهرت المزيد من التفاصيل حول هجمات تجاوز 2FA الخاصة بملحق Chrome
وكما ذكرت في نهاية ديسمبر، فإن الأمر مستمر”https://www.forbes.com/sites/daveywinder/2024/12/31/google-chrome-2fa-bypass-attack-confirmed-what-you-need-to-know/” الهدف=”_self” العنوان=”https://www.forbes.com/sites/daveywinder/2024/12/31/google-chrome-2fa-bypass-attack-confirmed-what-you-need-to-know/” data-ga-track=”InternalLink:https://www.forbes.com/sites/daveywinder/2024/12/31/google-chrome-2fa-bypass-attack-confirmed-what-you-need-to-know/” aria-label=”attack aimed at bypassing two-factor authentication protections and targeting Google Chrome users”> يهدف الهجوم إلى تجاوز إجراءات حماية المصادقة الثنائية واستهداف مستخدمي Google Chrome تم تأكيده عندما”https://www.cyberhaven.com/engineering-blog/cyberhavens-preliminary-analysis-of-the-recent-malicious-chrome-extension” rel=”nofollow noopener noreferrer” الهدف=”_blank” العنوان=”https://www.cyberhaven.com/engineering-blog/cyberhavens-preliminary-analysis-of-the-recent-malicious-chrome-extension” data-ga-track=”ExternalLink:https://www.cyberhaven.com/engineering-blog/cyberhavens-preliminary-analysis-of-the-recent-malicious-chrome-extension” aria-label=”a cybersecurity company confirmed”>أكدت شركة الأمن السيبراني أنه قد تم حقن ملحق المتصفح الخاص به برمز ضار. يبدو الآن أن ما لا يقل عن 35 شركة قد تم استبدال ملحقات Chrome الخاصة بها بإصدارات البرامج الضارة. إليك كل ما تحتاج إلى معرفته حول هجمات اختراق المصادقة الثنائية (2FA) مع ظهور معلومات جديدة.
فوربسالهجمات الأمنية على Android وiPhone – حذر جميع المستخدمين من القيام بذلك الآنبواسطة ديفي ويندر
الجدول الزمني للهجوم الالتفافي لـ Google Chrome 2FA
لا يأخذ المتسللون إجازات: يجب أن يكون هذا شعارًا لجميع المستخدمين والمدافعين عندما يتعلق الأمر بحماية الأمن السيبراني. بدأ عدد من التنازلات التي تتضمن ملحقات متصفح الويب Google Chrome في منتصف شهر ديسمبر واستمرت خلال العطلة الموسمية. ومع ذلك، وفقًا لتقرير جديد صادر عن Bleeping Computer، يبدو أن المتسللين الذين يقفون وراء الهجمات كانوا يختبرون منهجيتهم والتكنولوجيا المستخدمة منذ مارس 2024، مع تسجيل النطاقات المستخدمة لسحبها كلها في نوفمبر وأوائل ديسمبر. وقال هوارد تينغ، الرئيس التنفيذي لشركة الكشف عن هجمات البيانات والاستجابة للحوادث، في تصريح له: “لقد أكد فريقنا وقوع هجوم إلكتروني خبيث عشية عيد الميلاد، مما أثر على امتداد متصفح Cyberhaven لمتصفح Chrome”.”https://www.cyberhaven.com/blog/cyberhavens-chrome-extension-security-incident-and-what-were-doing-about-it” rel=”nofollow noopener noreferrer” الهدف=”_blank” العنوان=”https://www.cyberhaven.com/blog/cyberhavens-chrome-extension-security-incident-and-what-were-doing-about-it” data-ga-track=”ExternalLink:https://www.cyberhaven.com/blog/cyberhavens-chrome-extension-security-incident-and-what-were-doing-about-it” aria-label=”a security alert”> تنبيه أمني نشر، “نريد أن نشارك التفاصيل الكاملة للحادث والخطوات التي نتخذها لحماية عملائنا وتخفيف أي ضرر.”
بدأ هجوم Cyberhaven عندما تم التصيد الاحتيالي بنجاح لأحد الموظفين، مما أعطى المتسللين بيانات اعتماد للوصول للمطورين إلى متجر Google Chrome الإلكتروني. وقد مكنهم ذلك من نشر نسخة ضارة من ملحق Chrome الذي يستخدمه Cyberhaven، والذي يحتوي على تعليمات برمجية لتصفية ملفات تعريف الارتباط الخاصة بالجلسة وبالتالي تجاوز حماية المصادقة الثنائية لأي شخص يقع ضحية. بدأ الهجوم في 24 ديسمبر وتم اكتشافه في وقت متأخر من يوم 25 ديسمبر عندما تمت إزالة التمديد في غضون 60 دقيقة.
تظهر تفاصيل جديدة حول طرق الهجوم الالتفافية لـ Google Chrome 2FA
كما أفاد الفريق في”https://www.bleepingcomputer.com/news/security/new-details-reveal-how-hackers-hijacked-35-google-chrome-extensions/” rel=”nofollow noopener noreferrer” الهدف=”_blank” العنوان=”https://www.bleepingcomputer.com/news/security/new-details-reveal-how-hackers-hijacked-35-google-chrome-extensions/” data-ga-track=”ExternalLink:https://www.bleepingcomputer.com/news/security/new-details-reveal-how-hackers-hijacked-35-google-chrome-extensions/” aria-label=”Bleeping Computer”> صوت صفير الكمبيوتريبدو أن هجوم اختراق Chrome لتجاوز المصادقة الثنائية قد أدى إلى اختراق 35 امتدادًا للمتصفح على الأقل، مع احتمال تأثر حوالي 2.6 مليون مستخدم. يبدو أن هجوم الاختراق قد بدأ بشكل جدي ضد مطوري الإضافات المستهدفين في 5 ديسمبر، وأنا أعلم أنه تم الإفراط في استخدام هذا المصطلح، وهو ما يسميه المطورون بريدًا إلكترونيًا متطورًا للتصيد الاحتيالي. يبدو أنها قادمة من نطاقات محتملة في سوق Chrome الإلكتروني (كانت جميعها مزيفة بالطبع) وتوضح تفاصيل انتهاك سياسة امتداد Chrome. حسنًا، ربما لم يكن الأمر معقدًا على الإطلاق: النطاقات المزيفة التي لم تكن لتصمد أمام التفتيش الدقيق، إلى جانب الشعور بالإلحاح. تتمثل الضرورة الملحة في إزالة الامتداد إذا لم يتم تصحيح انتهاك السياسة.
“We do not allow extensions with misleading, poorly formatted, non-descriptive, irrelevant, excessive, or inappropriate metadata, including but not limited to the extension description, developer name, title, icon, screenshots, and promotional images,” the email seen by Bleeping Computer read. Of course, the victim is then directed to a policy check landing page which actually harvests credentials needed to grant access to Google resources for third-party app developers. “قال Cyberhaven في تقرير أولي عن الحادث: “لقد اتبع الموظف التدفق القياسي وأذن عن غير قصد بهذا التطبيق الخبيث التابع لجهة خارجية”.
وقال بيل تولاس، المراسل في موقع Bleeping Computer، إن تحليل مؤشرات التسوية لهذه الهجمات “أظهر أن المهاجمين كانوا يلاحقون حسابات فيسبوك لمستخدمي الامتدادات المسمومة”. يبدو أن مستمع حدث النقر بالماوس كان يبحث على وجه التحديد عن صور رمز الاستجابة السريعة المتعلقة بآليات المصادقة الثنائية على فيسبوك.
لقد تواصلت مع Google و Facebook للحصول على بيان.
حماية Chrome ضد هجمات تجاوز 2FA
يستخدم Google Chrome التشفير المرتبط بالتطبيق، والذي يقوم بتشفير البيانات المرتبطة بالهوية بنفس الطريقة التي يختبرها مستخدمو macOS مع حماية Keychain. يمنع هذا أي تطبيق يعمل كمستخدم مسجل الدخول من الوصول إلى الأسرار مثل ملفات تعريف الارتباط الخاصة بالجلسة والتي يتم استخدامها في هجمات تجاوز المصادقة الثنائية. توفر Google أيضًا وسائل حماية مثل التصفح الآمن وبيانات اعتماد الجلسة المرتبطة بالجهاز وميزة اكتشاف التهديدات المستندة إلى حساب Google. وقال متحدث باسم جوجل إن هناك “العديد من وسائل الحماية لمكافحة مثل هذه الهجمات، بما في ذلك مفاتيح المرور، التي تقلل بشكل كبير من تأثير التصيد الاحتيالي وهجمات الهندسة الاجتماعية الأخرى”. الهجمات والهجمات المستهدفة بدلاً من الرسائل النصية القصيرة وكلمات المرور المستندة إلى التطبيق لمرة واحدة والأشكال الأخرى من المصادقة الثنائية التقليدية.
فوربسجاري تنفيذ عملية إزالة بيانات مستخدم Google — ما تحتاج إلى معرفتهبواسطة ديفي ويندر
اتبعني تويترأو”https://www.linkedin.com/in/happygeek/” rel=”nofollow noopener noreferrer” الهدف=”_blank”> لينكد إن.الدفعلي”https://www.happygeek.com” rel=”nofollow noopener noreferrer” الهدف=”_blank”>موقع الكترونيأو بعض أعمالي الأخرى”https://authory.com/DaveyWinder” rel=”nofollow noopener noreferrer” الهدف=”_blank”>هنا.