Han surgido nuevos detalles sobre una campaña de phishing dirigida a los desarrolladores de extensiones del navegador Chrome que llevó a que al menos treinta y cinco extensiones se vieran comprometidas para inyectar código de robo de datos, incluidas las de la empresa de ciberseguridad Cyberhaven.
Aunque los informes iniciales se centraron en la expansión centrada en la seguridad de Cyberhaven, investigaciones posteriores revelaron que se había inyectado el mismo código en al menos 35 extensiones utilizado colectivamente por aproximadamente 2.600.000 personas.
De informes sobre LinkedIn Y Grupos de Google Originada por desarrolladores específicos, la última campaña comenzó alrededor del 5 de diciembre de 2024. Sin embargo, los subdominios de comando y control anteriores encontrados por BleepingComputer existían ya en marzo de 2024.
“Solo quería alertar a la gente sobre un correo electrónico de phishing más sofisticado de lo habitual que recibimos que indicaba una violación de la política de extensión de Chrome del formulario: ‘Detalles innecesarios en la descripción'”, leemos en el mensaje dirigido al grupo Chromium Extension de Google. grupo.
“El enlace de este correo electrónico parece la tienda en línea, pero dirige a un sitio web de phishing que intentará tomar el control de su extensión de Chrome y probablemente la actualizará con malware”.
Una cadena de ataque OAuth engañosa
El ataque comienza con un correo electrónico de phishing enviado a los desarrolladores de extensiones de Chrome directamente o mediante un correo electrónico de soporte asociado con su nombre de dominio.
De los correos electrónicos vistos por BleepingComputer, los siguientes dominios se utilizaron en esta campaña para enviar correos electrónicos de phishing:
supportchromestore.com
forextensions.com
chromeforextension.com
El correo electrónico de phishing, que parece provenir de Google, afirma que la extensión viola las políticas de Chrome Web Store y corre el riesgo de ser eliminada.
“No permitimos extensiones que contengan metadatos engañosos, mal formateados, no descriptivos, irrelevantes, excesivos o inapropiados, incluidos, entre otros, la descripción de la extensión, el nombre del desarrollador, el título, el icono, las capturas de pantalla y las imágenes promocionales”, se lee en el phishing. correo electrónico.
Específicamente, se hace creer al desarrollador de la extensión que la descripción de su software contiene información engañosa y debe aceptar las políticas de Chrome Web Store.
Fuente: Grupos de Google
Si el desarrollador hace clic en el botón integrado “Ir a la política” en un intento de comprender qué reglas ha violado, se le redirige a una página de inicio de sesión legítima en el dominio de Google para una aplicación OAuth maliciosa.
La página es parte del flujo de permisos estándar de Google, diseñado para otorgar permisos de forma segura a aplicaciones de terceros para acceder a recursos específicos de la cuenta de Google.
Fuente: Cyberhaven
En esta plataforma, el atacante alojaba una aplicación OAuth maliciosa llamada “Extensión de política de privacidad” que pedía a la víctima que otorgara permiso para administrar las extensiones de Chrome Web Store a través de su cuenta.
“Cuando otorga este acceso, la Extensión de la Política de Privacidad podrá: Ver, editar, actualizar o publicar las extensiones, temas, aplicaciones y licencias de Chrome Web Store a las que tiene acceso”, se lee en la página de autorización de OAuth.
Fuente: Cyberhaven
La autenticación multifactor no ayudó a proteger la cuenta porque no se requieren aprobaciones directas en los flujos de autorización de OAuth y el proceso supone que el usuario comprende completamente el alcance de los permisos que otorga.
“El empleado siguió el flujo estándar y sin darse cuenta autorizó esta aplicación maliciosa de terceros”. explica Cyberhaven en un ensayo post mortem.
“El empleado tenía habilitada la Protección avanzada de Google y tenía MFA cubriendo su cuenta. El empleado no recibió un mensaje de MFA. Las credenciales de Google del empleado no se vieron comprometidas”.
Una vez que los actores de amenazas obtuvieron acceso a la cuenta del desarrollador de la extensión, modificaron la extensión para incluir dos archivos maliciosos, a saber, “worker.js” y “content.js”, que contenían código que permitía robar datos de cuentas de Facebook.
La extensión secuestrada se lanzó posteriormente como una versión “nueva” en Chrome Web Store.
Mientras que la Extensión Total sigue treinta y cinco extensiones afectados por esta campaña de phishing, los COI del ataque indican que un número mucho mayor fue el objetivo.
De acuerdo a VirusTotalLos actores de amenazas registraron previamente dominios para las extensiones objetivo, a pesar de que no fueron víctimas del ataque.
Si bien la mayoría de los dominios se crearon en noviembre y diciembre, BleepingComputer descubrió que los actores de amenazas estaban probando este ataque en marzo de 2024.
Fuente: BleepingComputer
Dirigirse a cuentas comerciales de Facebook
El análisis de las máquinas comprometidas mostró que los atacantes apuntaban a las cuentas de Facebook de los usuarios de las extensiones envenenadas.
Específicamente, el código de robo de datos intentó robar la identificación de Facebook del usuario, el token de acceso, la información de la cuenta, la información de la cuenta publicitaria y las cuentas comerciales.
Fuente: Cyberhaven
Además, el código malicioso agregó un detector de eventos de clic del mouse específicamente para las interacciones de la víctima en Facebook.com, buscando imágenes de códigos QR relacionadas con la autenticación de dos factores de la plataforma o los mecanismos CAPTCHA.
Esto tenía como objetivo eludir las protecciones 2FA en la cuenta de Facebook y permitir que actores maliciosos la secuestraran.
La información robada se empaquetaría con cookies de Facebook, cadena de agente de usuario, ID de Facebook y eventos de clic del mouse y se filtraría al servidor de comando y control (C2) del atacante.
Los actores de amenazas apuntan a cuentas comerciales de Facebook a través de diversas vías de ataque para realizar pagos directos desde el crédito de la víctima a su cuenta, realizar campañas de desinformación o phishing en la plataforma de redes sociales o monetizar su acceso vendiéndolo a otros.