פריצה ל- 16 תוספי דפדפן כרום חושפת מאות אלפי משתמשים לגניבת מידע

מתקפת סייבר כוונה לתוספים של דפדפן כרום, מה שהוביל לכך שלפחות 16 תוספים נפגעו וגרמו לחשיפת מידע אישי וגניבת פרטי גישה (שמות משתמשים וסיסמאות) של כ- 600,000 משתמשים. מתקפת הסייבר פעלה באמצעות דיוג, כאשר פושעי הסייבר השתמשו בהרשאות הגישה של מפתחי התוספים על מנת להחדיר קוד זדוני לתוספים לגיטימיים כדי לגנוב קובצי Cookie ופרטי גישה של משתמשים. החברה הראשונה שנפלה קורבן למתקפת הדיוג הייתה חברת אבטחת הסייבר Cyberhaven, שאחד מעובדיה היה יעד לדיוג ב- 24 בדצמבר, מה שאפשר לפושעי הסייבר לפרסם גרסה זדונית של התוסף אשר פותח על ידי החברה. דוא"ל ההתחזות, שהתיימר להגיע מתמיכת המפתחים של חנות האינטרנט של גוגל כרום, ביקש לעורר תחושת דחיפות כוזבת בטענה שהתוסף שלהם נמצא בסיכון מיידי להסרה מחנות התוספים תוך ציון הפרה של תקנון תוכנית המפתחים. הודעה זו גם דחקה בנמענים ללחוץ על קישור כדי לקבל את המדיניות, שבעקבותיה הם הופנו לדף למתן הרשאות ליישום OAuth זדוני בשם 'הרחבת מדיניות פרטיות'.

"הרחבות דפדפן הן הבטן הרכה של אבטחת האינטרנט", אומר אור אשד – מנכ"ל LayerX Security – חברה המתמחה באבטחת הרחבות דפדפן. "למרות שאנו נוטים לחשוב על הרחבות דפדפן כבלתי מזיקות, בפועל, הן זוכות לעתים קרובות להרשאות נרחבות למידע רגיש של משתמשים כמו עוגיות, פרטי גישה, פרטי זהות ועוד. "ארגונים רבים אפילו לא יודעים אילו הרחבות הם התקינו בנקודות הקצה שלהם ואינם מודעים למידת החשיפה שלהם", טוען אשד. ג'יימי בלסקו – CTO חברת האבטחה SaaS Nudge Security, זיהה דומיינים נוספים שהפנו לאותה כתובת IP של שרת C&C אשר שימש לפריצת Cyberhaven.

על פי פלטפורמת האבטחה של הרחבות הדפדפן Secure Annex, חקירה נוספת חשפה תוספים נוספים כמו Google Sheets שעל פי החשד נפגעו:

AI Assistant – ChatGPT and Gemini for Chrome
Bard AI Chat Extension
GPT 4 Summary with OpenAI
Search Copilot AI Assistant for Chrome
TinaMInd AI Assistant
Wayin AI
VPNCity
Internxt VPN
Vindoz Flex Video Recorder
VidHelper Video Downloader
Bookmark Favicon Changer
Castorus
Uvoice
Reader Mode
Parrot Talks
Primus
Tackker – online keylogger tool
AI Shop Buddy
Sort by Oldest
Rewards Search Automator
ChatGPT Assistant – Smart Search
Keyboard History Recorder
Email Hunter
Visual Effects for Google Meet
Earny – Up to 20% Cash Back

תוספים נוספים שנפרצו מצביעים על כך ש- Cyberhaven לא הייתה יעד חד פעמי אלא חלק ממתקפת סייבר רחבת היקף אשר כוונה לתוספים לגיטימיים. מייסד Secure Annex – ג'ון טאקנר, אמר לאתר Hacker News כי קיימת אפשרות שמתקפת הסייבר החלה ב- 5 באפריל 2023 וככל הנראה אף מוקדם יותר, בהתבסס על תאריכי הרישום של הדומיינים שבהם נעשה שימוש במהלך המתקפה.

חברת Cyberhaven דיווחה כי הגרסה הזדונית של תוסף הדפדפן הוסרה כ- 24 שעות לאחר עלייתה לאוויר. חלק מהתוספים האחרים שנפגעו כבר עודכנו או הוסרו מחנות האינטרנט של Chrome. עם זאת, העובדה שהתוסף הוסר מחנות כרום לא אומר שהחשיפה הסתיימה, אומר אור אשד: "כל עוד הגרסה שנפרצה של התוסף עדיין פעילה בנקודת הקצה, עדיין יכולים פושעי סייבר לגשת אליה ולגנוב מידע."

למקור הידיעה ולקריאה נוספת

פריצה ל- 16 תוספי דפדפן כרום חושפת מאות אלפי משתמשים לגניבת מידע
דילוג לתוכן