بواسطة: رافي لاكشمانان | The Hacker News

استهدفت حملة هجومية جديدة ملحقات متصفح Chrome المعروفة، مما أدى إلى اختراق ما لا يقل عن 35 ملحقًا وتعريض أكثر من 2.6 مليون مستخدم لخطر الكشف عن البيانات وسرقة بيانات الاعتماد.

استهدف الهجوم ناشري ملحقات المتصفح على متجر Chrome الإلكتروني عبر حملة تصيد واستخدم أذونات الوصول الخاصة بهم لإدراج تعليمات برمجية ضارة في ملحقات شرعية من أجل سرقة ملفات تعريف الارتباط ورموز وصول المستخدم.

وكانت أول شركة تسلط الضوء على الحملة هي شركة الأمن السيبراني Cyberhaven، حيث تم استهداف أحد موظفيها بهجوم تصيد في 24 ديسمبر، مما سمح لمرتكبي التهديد بنشر نسخة ضارة من الامتداد.

في 27 ديسمبر، كشفت شركة Cyberhaven أن أحد الجهات الفاعلة المهددة قام باختراق ملحق المتصفح الخاص بها وحقن كود ضار للتواصل مع خادم التحكم والقيادة الخارجي (C&C) الموجود على نطاق cyberhavenext[.]pro، وتنزيل ملفات تكوين إضافية، واستخراج بيانات المستخدم.

هدفت رسالة التصيد الاحتيالي، التي زعمت أنها قادمة من قسم دعم مطوري متجر Google Chrome الإلكتروني، إلى إثارة شعور زائف بالإلحاح من خلال الادعاء بأن ملحقهم معرض لخطر الإزالة الوشيك من متجر الملحقات مشيرًا إلى انتهاك لسياسات برنامج المطورين .

كما حثت المستلم على النقر على رابط لقبول السياسات، وبعد ذلك يتم إعادة توجيهه إلى صفحة لمنح الأذونات لتطبيق OAuth ضار يسمى "ملحق سياسة الخصوصية".

وقالت شركة Cyberhaven في تقرير فني منفصل: "حصل المهاجم على الأذونات اللازمة عبر التطبيق الخبيث (امتداد سياسة الخصوصية) وقام بتحميل امتداد كروم خبيث إلى متجر كروم الإلكتروني. وبعد عملية مراجعة الأمان المعتادة لمتجر كروم الإلكتروني، تمت الموافقة على الامتداد الخبيث للنشر".

يقول أور إيشيد، الرئيس التنفيذي لشركة LayerX Security ، المتخصصة في أمن ملحقات المتصفح: " تعد ملحقات المتصفح بمثابة نقطة ضعف في أمن الويب . وعلى الرغم من أننا نميل إلى الاعتقاد بأن ملحقات المتصفح غير ضارة، إلا أنها في الممارسة العملية تُمنح في كثير من الأحيان أذونات واسعة النطاق للوصول إلى معلومات المستخدم الحساسة مثل ملفات تعريف الارتباط ورموز الوصول ومعلومات الهوية والمزيد.

"لا تعرف العديد من المؤسسات حتى ما هي الامتدادات التي قامت بتثبيتها على نقاط النهاية الخاصة بها، ولا تدرك مدى تعرضها للخطر."

حدد جيمي بلاسكو، كبير مسؤولي التكنولوجيا في شركة Nudge Security المتخصصة في أمن SaaS، نطاقات إضافية تؤدي إلى نفس عنوان IP الخاص بخادم C&C المستخدم في خرق Cyberhaven.

كشفت التحقيقات الإضافية عن المزيد من الإضافات[Google Sheets] التي يشتبه في تعرضها للاختراق، وفقًا لمنصات أمان إضافات المتصفح Secure Annex و Extension total :

• مساعد الذكاء الاصطناعي - ChatGPT وGemini لمتصفح Chrome
• ملحق الدردشة Bard AI
• ملخص GPT 4 مع OpenAI
• ابحث عن Copilot AI Assistant لمتصفح Chrome
• مساعد الذكاء الاصطناعي TinaMInd
• واين اي
• VPNCity
• شبكة VPN من انتركست
• مسجل فيديو Vidnoz Flex
• برنامج تنزيل الفيديو VidHelper
• أداة تغيير أيقونة الإشارة المرجعية
• كاستوروس
• يوفويس
• وضع القارئ
• ببغاء يتحدث
• بريموس
• Tackker - أداة تسجيل المفاتيح على الإنترنت
• متجر AI Buddy
• فرز حسب الأقدم
• أداة البحث الآلي عن المكافآت
• مساعد ChatGPT - البحث الذكي
• مسجل تاريخ لوحة المفاتيح
• البريد الإلكتروني هانتر
• المؤثرات البصرية لـ Google Meet
• Earny - استرداد نقدي يصل إلى 20%
•  
• أين كوكى؟
• مرآة الويب
• تطبيق ChatGPT
• مرحباً أيه آي
• مدير كلمات المرور Web3
• نعم مساعد الكابتشا
• أداة تغيير أيقونة الإشارة المرجعية
• برنامج Proxy SwitchyOmega (الإصدار 3)
• فاحص شبكة GraphQL
• ChatGPT لـ Google Meet
• ملخص GPT 4 مع OpenAI

تشير هذه الإضافات الإضافية المخترقة إلى أن Cyberhaven لم يكن هدفًا لمرة واحدة بل كان جزءًا من حملة هجوم واسعة النطاق تستهدف إضافات المتصفح المشروعة.

وقال مؤسس Secure Annex، جون توكنر، لـ The Hacker News إنه من المحتمل أن تكون الحملة مستمرة منذ 5 أبريل 2023، وربما حتى أبعد من ذلك بناءً على تواريخ تسجيل النطاقات المستخدمة: تم تسجيل nagofsg[.]com في أغسطس 2022 وتم تسجيل sclpfybn[.]com في يوليو 2021.

"لقد قمت بربط نفس الكود الموجود في هجمات Cyberhaven بالكود ذي الصلة (لنفترض Code1) في ملحق يسمى ""وضع القارئ""،"" كما قال Tuckner. ""يحتوي الكود في ""وضع القارئ"" على كود هجوم Cyberhaven (Code1) ومؤشر إضافي للاختراق ""sclpfybn[.]com"" مع الكود الإضافي الخاص به (Code2)""

"لقد قادني التركيز على هذا المجال إلى سبعة ملحقات جديدة. وكان أحد هذه الملحقات ذات الصلة والذي يُدعى "Rewards Search Automator" يحتوي على (Code2) الذي يتنكر في هيئة وظيفة "التصفح الآمن" ولكنه كان يقوم باستخراج البيانات."

"يحتوي "Rewards Search Automator" أيضًا على وظيفة "التجارة الإلكترونية" المقنعة (Code3) مع نطاق جديد "tnagofsg[.]com" والذي يشبه وظيفيًا بشكل لا يصدق "التصفح الآمن". عند البحث بشكل أعمق في هذا النطاق، وجدت "Earny - Up to 20% Cash Back" والذي لا يزال يحتوي على رمز "التجارة الإلكترونية" (Code3) وتم تحديثه آخر مرة في 5 أبريل 2023."

أما بالنسبة لبرنامج Cyberhaven المخترق، فإن التحليلات تشير إلى أن الكود الخبيث استهدف بيانات الهوية ورموز الوصول لحسابات Facebook، في المقام الأول بهدف تحديد مستخدمي إعلانات Facebook.

كما تضمنت التعليمات البرمجية الاستماع إلى أحداث نقرات الماوس على موقع Facebook[.]com، والتحقق من الصور التي تحتوي على السلسلة الفرعية "qr/show/code" في سمة src في كل مرة ينقر فيها المستخدم على صفحة، وإذا تم العثور عليها، يتم إرسالها إلى خادم C&C. ويُشتبه في أن القصد كان البحث عن رموز QR من أجل تجاوز عمليات التحقق الأمنية مثل طلبات المصادقة الثنائية (2FA).

تقول شركة Cyberhaven إن النسخة الخبيثة من ملحق المتصفح تمت إزالتها بعد حوالي 24 ساعة من نشرها. كما تم بالفعل تحديث بعض الملحقات الأخرى المكشوفة أو إزالتها من متجر Chrome الإلكتروني.

ومع ذلك، فإن حقيقة إزالة الامتداد من متجر Chrome لا تعني أن التعرض قد انتهى، كما يقول أور إيشيد. ويضيف: "ما دامت النسخة المخترقة من الامتداد لا تزال نشطة على نقطة النهاية، فما زال بإمكان المتسللين الوصول إليها واستخراج البيانات".

وقد ظهر منذ ذلك الحين أيضًا أن وجود كود جمع البيانات في بعض الامتدادات لم يكن نتيجة لتسوية، ولكن من المحتمل أن يكون قد تم تضمينه من قبل المطورين أنفسهم كجزء من مجموعة تطوير برامج الربح (SDK) التي قامت أيضًا باستخراج بيانات التصفح التفصيلية بشكل سري.

قال الباحث الأمني ​​فلاديمير بالانت: "قبل أن يبيع مطور التأثيرات المرئية لـ Google Meet ملحقه إلى Karma، حاولوا تحقيق الدخل منه باستخدام "مكتبة حظر الإعلانات" هذه" . "لا يذكر عرض المبيعات من يطور المكتبة ولكن كل شيء يشير إلى Urban VPN."