W dzisiejszym poście przedstawimy atak „na łańcuch dostaw”, prawdopodobnie wymierzony w użytkowników reklam na Facebooku. Opiszemy scenariusz zdarzenia, które dotyczyło umieszczenia złośliwych wersji Cyberhaven i innych rozszerzeń Chrome, opublikowanych podczas przerwy świątecznej w Google Chrome Web Store.
Cyberhaven jest firmą giełdową wycenioną na 488 milionów dolarów. Firma pozyskała 88 milionów dolarów w rundzie finansowania serii C w czerwcu 2024 roku. Zajmuje się bezpieczeństwem danych, co nie uchroniło jej jednak przed poważną wpadką, kiedy jej pracownik padł ofiarą ataku phishingowego i autoryzował złośliwą aplikację OAuth o nazwie „Rozszerzenie polityki prywatności” na koncie Cyberhaven w Chrome Web Store.
Wiadomość phishingowa była dobrze skonstruowana. Została wysłana na zarejestrowany adres e-mail pomocy technicznej, rzekomo od Chrome Web Store. Jak często w takich przypadkach, wymagała natychmiastowej akcji od pracownika, wyświetlając informację, iż opis rozszerzenia zawiera nadmierne słowa najważniejsze i iż wtyczka zostanie usunięta ze sklepu.
Po kliknięciu łącza w wiadomości pracownik został przeprowadzony przez standardowy proces autoryzacji Google i nieumyślnie udzielił złośliwej aplikacji uprawnień dostępu do konta programisty.
„Pracownik miał włączoną ochronę zaawansowaną Google i uwierzytelnianie wieloskładnikowe obejmujące jego konto. Nie otrzymał monitu o uwierzytelnianie wieloskładnikowe. Dane uwierzytelniające Google pracownika nie zostały naruszone” – twierdzi Cyberhaven.
W następnych krokach atakujący wykorzystali skradzione uprawnienia do opublikowania złośliwej wersji rozszerzenia w Chrome Web Store, która była dostępna do pobrania przez około 24 godziny między 25 a 26 grudnia.
Złośliwa wersja (24.10.4) została usunięta ze sklepu natychmiast po wykryciu ataku i zastąpiona bezpieczną wersją 24.10.5. Mimo to Cyberhaven nie uniknęło bezwiednej dystrybucji. Złośliwa iteracja została rozesłana do użytkowników, którzy mieli włączoną funkcję automatycznej aktualizacji.
„Nasze dochodzenie potwierdziło, iż żadne inne systemy Cyberhaven, w tym nasze procesy CI/CD i klucze podpisywania kodu, nie zostały naruszone” – twierdzi Cyberhaven.
Złośliwe rozszerzenie wydaje się skierowane do użytkowników reklam portalu Facebook, zbierając i eksfiltrując tokeny dostępu, identyfikatory użytkowników, informacje o koncie za pośrednictwem interfejsu API Facebooka, konta firmowe i informacje o koncie reklamowym.
Ponadto złośliwy kod dodał bardziej zaawansowane funkcje – m.in. „nasłuchiwacz” kliknięć myszy dla facebook.com, który pobiera wszystkie obrazy, gdy użytkownik kliknie odpowiednią stronę. Na podstawie sposobu przetwarzania pobranych obrazów można stwierdzić, iż malware prawdopodobnie szukał kodów QR, aby ominąć captchas i żądania autoryzacji 2FA.
W poście na LinkedIn współzałożyciel i dyrektor techniczny Nudge Security Jaime Blasco zauważył, iż inne rozszerzenia Chrome również zostały naruszone, a aktor zagrożenia utworzył wiele fałszywych domen w krótkim czasie. Wszystkie były hostowane na tym samym adresie IP. Zidentyfikowano co najmniej pięć innych naruszonych rozszerzeń Chrome, w tym Internxt VPN, VPNCity, Uvoice i ParrotTalks. O atakach na łańcuch dostaw pisaliśmy m.in. tutaj.
