Кратко обобщение: Изследователи от компанията за сигурност Socket откриха 108 зловредни разширения в официалния Chrome Web Store, които крадат Google OAuth токени, инсталират backdoor-и и в един случай дори ексфилтрират Telegram сесии на всеки 15 секунди. Кампанията е дело на един оператор, който действа под пет различни имена. Към момента на публикуване на оригиналното разследване много от разширенията все още бяха достъпни. По-долу е и пълният списък с extension IDs, за да можете да проверите своя браузър.
Източници:
- Оригинално разследване: Socket.dev — 108 Chrome Extensions Linked to Data Exfiltration and Session Theft
- Покритие в медиите: BleepingComputer — Over 100 Chrome Web Store extensions steal user accounts, data
Какво се случи
Екипът за заплахи на Socket е идентифицирал координирана кампания от 108 разширения, публикувани в Chrome Web Store от пет различни „издатели“ — Yana Project, GameGen, SideGames, Rodeo Games и InterAlt. Въпреки различните имена, всички разширения използват една и съща command-and-control (C2) инфраструктура, хоствана на VPS от доставчика Contabo, което показва че зад тях стои един оператор.
Според Socket има индикации, че кампанията е свързана с руска malware-as-a-service операция — заключение, направено въз основа на коментари на руски в кода и характеристики на инфраструктурата.
Как точно атакуват
Разширенията са разделени по функции в няколко групи:
54 разширения крадат Google акаунти през OAuth2. Когато потребителят кликне на бутон за вход с Google, разширението използва chrome.identity.getAuthToken за да вземе валиден OAuth2 Bearer токен. След това праща имейла, името, профилната снимка и Google ID-то на потребителя към сървър на нападателите (mines.cloudapi.stream). С този токен нападателите могат да достъпят Gmail и други Google услуги без парола и без 2FA.
45 разширения съдържат универсален backdoor. Скрита функция в background script-а се изпълнява автоматично при всяко стартиране на Chrome, без да е нужно потребителят да отвори разширението. Тя пита C2 сървъра за инструкции и може да отвори произволни URL адреси в нов таб — например за рекламни измами, фишинг страници или заразяване с допълнителен malware.
Едно разширение (Telegram-related) е особено опасно. То краде Telegram Web сесии на всеки 15 секунди — извлича session token-а от localStorage и го праща към нападателите. Още по-зле: има и обратна функция, която позволява на нападателите да заменят сесията на жертвата с тяхна, ефективно превземайки акаунта без потребителят да забележи.
Останалите инжектират реклами в YouTube и TikTok чрез премахване на security headers, или прокарват целия трафик за превод през сървър на нападателите.
За кого това е особено важно в България
Няколко практически наблюдения, които си струва да се отбележат за българска аудитория:
Telegram е масово използван у нас — за работни групи, бизнес комуникация, политически чатове. Ако имате Telegram Web сесия и сте инсталирали разширение от категорията „Telegram sidebar“ или „Telegram multi-account“, спрете да четете и проверете още сега.
Google акаунтите често са свързани с фирмени Workspace профили. Ако ваш служител е инсталирал такова разширение на работния си компютър, нападателите потенциално имат достъп до фирмената поща, Drive и календар без да задействат никакви аларми, защото влизат с легитимен токен.
OAuth токените заобикалят 2FA. Това е важно — много хора смятат, че двуфакторната автентикация ги пази от всичко. В този конкретен случай не ги пази, защото нападателят използва вече издаден токен, а не се опитва да влезе наново.
Какво да направите сега
- Отворете
chrome://extensionsв браузъра си - Сравнете инсталираните разширения с пълния списък IDs в доклада на Socket
- Ако намерите съвпадение — деинсталирайте разширението незабавно
- Отидете на myaccount.google.com/permissions и премахнете всички подозрителни приложения, на които сте давали достъп
- Сменете паролата на Google акаунта си (това невалидира съществуващите OAuth токени)
- Ако сте използвали Telegram Web — излезте от всички сесии от настройките на Telegram (Settings → Devices → Terminate all other sessions)
Защо това продължава да се случва
Това не е първият голям случай със зловредни разширения в Chrome Web Store и почти със сигурност няма да е последният. Процесът на одобрение на Google разчита силно на автоматизирани проверки, които нападателите се научават да заобикалят — например като активират зловредната функционалност едва след известно време или само при определени условия.
Препоръката, която специалистите по сигурност повтарят от години, остава валидна: инсталирайте разширения само ако наистина ви трябват, проверявайте кой е издателят, четете отзивите, и периодично преглеждайте какво имате инсталирано. Едно разширение има достъп до всичко, което правите в браузъра — пароли, банкиране, поща. Това е огромно ниво на доверие.
Тази статия е базирана на оригиналното разследване на Socket Threat Research Team и репортажа на BleepingComputer. Целият технически анализ, IOCs и списък с разширения принадлежат на Socket — моля, посетете първоизточниците за пълните детайли.
Това е мое резюме на новина, оригинално публикувана в BleepingComputer и базирана на разследване на Socket. За пълните технически детайли, моля посетете първоизточниците по-долу.