Kampanye serangan baru telah menargetkan ekstensi browser Chrome yang diketahui, mengakibatkan setidaknya 16 ekstensi disusupi dan membuat lebih dari 600.000 pengguna terpapar data dan pencurian kredensial.
Serangan tersebut menargetkan penerbit ekstensi browser di Toko Web Chrome melalui kampanye phishing dan menggunakan izin akses mereka untuk memasukkan kode berbahaya ke dalam ekstensi yang sah untuk mencuri cookie dan token akses pengguna.
Perusahaan pertama yang menjadi korban kampanye ini adalah perusahaan keamanan siber Cyberhaven, yang salah satu karyawannya menjadi target serangan phishing pada tanggal 24 Desember, yang memungkinkan pelaku ancaman mempublikasikan versi ekstensi yang berbahaya.
Pada tanggal 27 Desember, Cyberhaven terungkap bahwa pelaku ancaman menyusupi ekstensi browser Anda dan menyuntikkan kode berbahaya untuk berkomunikasi dengan server perintah dan kontrol (C&C) eksternal yang terletak di domain cyberhanext[.]pro, unduh file konfigurasi tambahan dan ekstrak data pengguna.
Email phishing, yang konon berasal dari dukungan pengembang Toko Web Chrome Google, berusaha menimbulkan rasa urgensi yang salah dengan mengklaim bahwa ekstensinya berisiko dihapus dari toko ekstensi dengan alasan pelanggaran privasi. Kebijakan Program Pengembang.
Hal ini juga mendorong penerima untuk mengklik link untuk menerima kebijakan tersebut, setelah itu mereka diarahkan ke halaman untuk memberikan izin kepada aplikasi OAuth berbahaya yang disebut “Ekstensi Kebijakan Privasi”.
“Penyerang memperoleh izin yang diperlukan melalui aplikasi jahat (“Ekstensi Kebijakan Privasi”) dan mengunggah ekstensi Chrome berbahaya ke Toko Web Chrome,” Cyberhaven pepatah. “Setelah proses peninjauan keamanan seperti biasa di Toko Web Chrome, ekstensi berbahaya tersebut disetujui untuk dipublikasikan.”
“Ekstensi browser adalah bagian paling rentan dalam keamanan web,” kata Or Eshed, CEO Keamanan LapisanXyang berspesialisasi dalam keamanan ekstensi browser. “Meskipun kita cenderung menganggap ekstensi browser tidak berbahaya, dalam praktiknya ekstensi tersebut sering kali diberikan izin luas untuk mengakses informasi sensitif pengguna seperti cookie, token akses, informasi identitas, dan banyak lagi.
“Banyak organisasi bahkan tidak mengetahui ekstensi apa yang telah mereka pasang di endpoint mereka dan tidak menyadari sejauh mana paparan mereka,” kata Eshed.
Setelah berita tentang pelanggaran Cyberhaven tersebar, ekstensi tambahan dengan cepat diidentifikasi yang juga disusupi dan berkomunikasi dengan server C&C yang sama.
Jamie Blasco, CTO perusahaan keamanan SaaS Nudge Security, domain tambahan yang teridentifikasi yang menyelesaikannya ke alamat IP yang sama dari server C&C yang digunakan untuk pelanggaran Cyberhaven.
Investigasi lebih lanjut telah menemukan lebih banyak ekstensi [Google Sheets] yang diduga telah disusupi, menurut platform keamanan ekstensi browser Lampiran Aman:
- Asisten AI: ChatGPT dan Gemini untuk Chrome
- Ekstensi Obrolan AI Bard
- Ikhtisar GPT 4 dengan OpenAI
- Asisten Penelusuran AI Kopilot untuk Chrome
- Asisten AI TinaMInd
- Jauh di AI
- VPNCity
- VPN dalaman
- Perekam Video Vindoz Flex
- Pengunduh Video VidHelper
- Pengubah Favorit Favicon
- Berang-berang
- Uvoz
- Modus pembaca
- pembicaraan burung beo
- Primus
- Tackker – Alat Keylogging Online
- Rekan Toko AI
- Urutkan berdasarkan yang terlama
- Automator Berburu Hadiah
- Asisten ChatGPT – Pencarian Cerdas
- Perekam Riwayat Keyboard
- Pemburu Email
- Efek visual untuk Google Meet
- Hasilkan: Uang Kembali Hingga 20%.
Ekstensi tambahan yang disusupi ini menunjukkan bahwa Cyberhaven bukanlah target tunggal, melainkan bagian dari kampanye serangan berskala besar yang menargetkan ekstensi browser yang sah.
Pendiri Secure Annex John Tuckner mengatakan kepada The Hacker News bahwa ada kemungkinan kampanye tersebut telah berlangsung sejak 5 April 2023, dan mungkin lebih lama lagi tergantung pada tanggal pendaftaran domain yang digunakan: nagofsg[.]com telah didaftarkan pada Agustus 2022 dan sclpfybn[.]com telah didaftarkan pada Juli 2021.
“Saya telah menghubungkan kode yang sama yang ada dalam serangan Cyberhaven ke kode terkait (katakanlah Kode1) dalam ekstensi yang disebut ‘Mode Pembaca’,” kata Tuckner. “Kode dalam ‘Mode Pembaca’ berisi kode serangan Cyberhaven (Kode1) dan indikator tambahan kompromi” sclpfybn[.]com” dengan kode tambahannya sendiri (Kode2).”
“Beralih ke domain tersebut membawa saya ke tujuh ekstensi baru. Salah satu ekstensi terkait yang disebut “Rewards Search Automator” memiliki (Kode2) yang menyamar sebagai fungsi “penjelajahan aman” namun mengekstraksi data.”
“‘Rewards Search Automator’ juga berisi fungsi ‘e-commerce’ yang terselubung (Kode3) dengan domain baru ‘tnagofsg[.]com’ yang secara fungsional sangat mirip dengan ‘penjelajahan aman’. Menelusuri lebih jauh domain ini, saya menemukan ‘Dapatkan – Uang Kembali Hingga 20%’ yang masih memiliki kode ‘e-commerce’ (Kode3) dan terakhir diperbarui pada 5 April 2023.”
Analisis terhadap Cyberhaven yang disusupi menunjukkan bahwa kode berbahaya tersebut menargetkan data identitas dan token akses dari akun Facebook, dan khususnya akun bisnis Facebook:
![]() |
Data pengguna yang dikumpulkan oleh ekstensi browser Cyberhaven yang disusupi (sumber: Cyberhaven) |
Cyberhaven mengatakan versi berbahaya dari ekstensi browser tersebut telah dihapus sekitar 24 jam setelah dirilis. Beberapa ekstensi lain yang terekspos juga telah diperbarui atau dihapus dari Toko Web Chrome.
Namun, hanya karena ekstensi telah dihapus dari toko Chrome tidak berarti paparannya telah berakhir, kata Or Eshed. “Selama versi ekstensi yang disusupi masih aktif di titik akhir, peretas masih dapat mengaksesnya dan mengekstrak data,” katanya.
Peneliti keamanan terus mencari ekstensi tambahan yang terekspos, namun kecanggihan dan cakupan kampanye serangan ini telah meningkatkan tantangan bagi banyak organisasi untuk melindungi ekstensi browser mereka.
Saat ini belum jelas siapa yang berada di balik kampanye tersebut dan apakah komitmen-komitmen tersebut ada kaitannya. The Hacker News telah menghubungi Google untuk memberikan komentar lebih lanjut dan kami akan memperbarui ceritanya jika kami mendengarnya kembali.