מתקפת סייבר רחבת היקף פגעה בלפחות 35 תוספים לדפדפן Chrome, וחשפה למעלה מ-2.6 מיליון משתמשים לסיכון של גניבת נתונים ופרטי התחברות.
ניצול תוספים לגניבת מידע
התקיפה כוונה אל מפתחי תוספים בחנות ה-Chrome Web Store באמצעות קמפיין דיוג (phishing). לאחר השגת גישה לחשבונות המפתחים, הותקן קוד זדוני בתוספים לגיטימיים, במטרה לגנוב עוגיות (cookies) ואסימוני גישה של משתמשים.
חברת הסייבר Cyberhaven הייתה הראשונה לחשוף את המתקפה. אחד מעובדיה נפל קורבן למתקפת דיוג ב-24 בדצמבר, מה שאפשר לתוקפים לשנות גרסה של אחד התוספים ולפרסם גרסה זדונית שלו.
sbb-itb-1ec8384
מנגנוני המתקפה
ב-27 בדצמבר, Cyberhaven חשפה שהקוד הזדוני, שהוטמע בתוספים שנפגעו, תקשר עם שרת שליטה ובקרה (C&C) והוריד קבצי תצורה נוספים, תוך איסוף נתוני משתמשים. הדומיין שבו השתמשו התוקפים היה cyberhavenext[.]pro.
הדיוג כלל דוא"ל שנטען כי נשלח מתמיכת המפתחים של חנות ה-Chrome Web Store. בהודעה נכתב כי ישנה סכנה להסרת התוסף בשל הפרת מדיניות, ונדרשה פעולה מיידית מצד המפתח. לחיצה על הקישור הובילה לדף שהעניק הרשאות לאפליקציה זדונית בשם ״Privacy Policy Extension״.
"לאחר תהליך השגרתי של סקירת האבטחה של חנות ה-Chrome Web Store, התוסף הזדוני אושר ופורסם", נמסר מ-Cyberhaven.
הרחבה של התקיפה
חוקרים נוספים, כגון CTO של חברת Nudge Security, ג'יימי בלאסקו, זיהו דומיינים נוספים המחוברים לשרת השליטה והבקרה של ההתקפה. מעבר לכך, פלטפורמות אבטחת תוספים כמו Secure Annex ו-Extension Total חשפו רשימה רחבה יותר של תוספים שנפגעו, כולל:
- AI Assistant – ChatGPT and Gemini for Chrome
- Bard AI Chat Extension
- VPNCity
- VidHelper Video Downloader
- ChatGPT for Google Meet
- ועוד רבים נוספים.
ציטוטים והתראות מומחים
מומחים הדגישו את הסכנות סביב תוספי דפדפן. לדברי אור אשד, מנכ"ל LayerX Security: "תוספי הדפדפן הם נקודת התורפה הרכה של אבטחת הרשת. למרות שאנו נוטים לראות בהם תמימים, בפועל, ניתנות להם לעיתים קרובות הרשאות גישה נרחבות למידע רגיש של המשתמשים, כמו עוגיות, אסימוני גישה ומידע זהות."
אשד הדגיש כי "העובדה שהתוסף הוסר מחנות ה-Chrome אינה אומרת שהחשיפה הסתיימה. כל עוד הגרסה הפגועה נשארת פעילה במכשיר, התוקפים יכולים להמשיך לגשת אליה ולאסוף נתונים."
ממצאים נוספים
Secure Annex הצביעה על קשר בין התקיפה האחרונה לבין קמפיין מתמשך שהחל, ככל הנראה, כבר באפריל 2023. הדומיינים המשמשים את ההתקפה נרשמו עוד בשנת 2021.
לדברי ג'ון טאקנר, מייסד Secure Annex: "מצאתי קוד זהה לתקיפת Cyberhaven בתוסף נוסף בשם 'Reader Mode'. הקוד כלל אינדיקטורים נוספים להפרת אבטחה, כמו דומיין sclpfybn[.]com."
צעדים להמשך
בעוד מספר תוספים פגועים הוסרו או עודכנו, התקיפה מדגישה את הצורך בהגברת המודעות והפיקוח על תוספי דפדפן. חוקרים ציינו כי חלק מהקודים הזדוניים ייתכן ונכללו על ידי המפתחים עצמם, כחלק ממנגנוני מוניטיזציה שלא נבדקו כראוי.
נכון לעכשיו, זהות מבצעי המתקפה אינה ידועה, והקשרים בין המקרים עודם נחקרים.
