Хакерите не си взимат отпуск, както се вижда от поредицата компрометирани разширения на браузъра Google Chrome, датиращи от средата на декември и продължаващи през сезонната ваканция. Ето всичко, което трябва да знаете за продължаващите атаки за заобикаляне на двуфакторното удостоверяване в Google Chrome.

Както съобщи Reuters на 27 декември, „хакери са компрометирали разширенията на браузъра Chrome на няколко различни компании в серия от прониквания“. Фактът, че заплахите използват разширенията на Chrome като методология за атаки, не е нещо ново, но мащабът на тази последна кампания изглежда показва колко решителни са хакерите да откраднат бисквитките на сесиите и да заобиколят вашите двуфакторни защити за удостоверяване.

Въпреки че е само част от това, което изглежда е координирана и широкообхватна кампания, насочена към множество компании и техните разширения за Chrome, общият брой на потребителите, изложени на риск, вероятно е милиони; атаката срещу компанията за сигурност Cyberhaven си струва да бъде разгледана, тъй като обяснява потенциалните опасности от такива атаки, като само корпоративните клиенти са около 400 000, и дава представа за това колко бърза е реакцията при тях.

„Екипът ни потвърди злонамерена кибератака, извършена в навечерието на Коледа, която е засегнала разширението за Chrome на Cyberhaven“, заяви Хауърд Тинг, главен изпълнителен директор на компанията за откриване на атаки срещу данни и реагиране на инциденти, в съобщение-предупреждение за сигурност. “Искаме да споделим пълните подробности за инцидента и стъпките, които предприемаме, за да защитим клиентите си и да намалим щетите.“

Атаката срещу клиентите на Cyberhaven започна на 24 декември, когато фишинг заплаха успешно успя да компрометира служител. Важно е да се отбележи, че това включваше компрометиране на идентификационните данни, което позволи на нападателя да получи достъп до уеб магазина на Google Chrome. „Нападателят е използвал тези идентификационни данни, за да публикува злонамерена версия на нашето разширение за Chrome“, потвърди Тинг. Зловредното разширение е открито едва късно на 25 декември, след което е премахнато в рамките на 60 минути.

Предварителното разследване на атаката разкри, че първоначалният начин за достъп е бил чрез фишинг имейл, изпратен до регистрирания имейл за поддръжка на разширението за Chrome на Cyberhaven, насочен към разработчиците. Cyberhaven направи този имейл достъпен, за да предупреди другите за това как изглежда такава първоначална атака.

Когато жертвата щракне върху връзката, тя се озовава в потока за оторизация на Google за „добавяне на злонамерено OAUTH приложение на Google, наречено Privacy Policy Extension“, заявяват експерти на Cyberhaven. То е било хоствано на Google.com и е било част от стандартния процес за предоставяне на достъп до приложения на Google от трети страни, който в този случай по невнимание е оторизирал злонамерено приложение. „Служителят е имал активирана разширена защита на Google и е покривал профила си с MFA“, казват от Cyberhaven. Не е получена покана за многофакторно удостоверяване и данните на служителя в Google не са били компрометирани при атаката. След това в магазина на Chrome е било качено злонамерено разширение (24.10.4), базирано на чиста предишна версия на официалното разширение на Cyberhaven за Chrome.

Въпреки че двуфакторното удостоверяване остава важен слой от защитата на сигурността при проверка на данните, това не означава, че то е неуязвимо за атаки. Хората често приемат погрешно, че само 2FA чрез SMS съобщения са открити за прихващане и че използването на приложение за генериране на код за удостоверяване е универсално решение. Въпреки че приложенията са много по-силен метод за използване на 2FA за повечето хора, а SMS кодовете все още са по-добри от липсата на защита на 2FA, нападателите все още могат да заобиколят този слой за удостоверяване. Всъщност те не го заобикалят точно, а го клонират. Нападателят по какъвто и да е начин ще пренасочи жертвата към истински изглеждаща страница за вход, в която се въвеждат идентификационните данни. Когато става въпрос за частта с въвеждането на 2FA код, чрез използване на техниката „атакуващ по средата“ бисквитката на сесията, която се създава при въвеждането на правилен код, се прихваща и съхранява за по-късна употреба. Тази „бисквитка“ маркира сесията на потребителя като подходящо оторизирана. Разбира се, ако атакуващият разполага с копие на тази бисквитка, той може да стартира сесията отново по всяко време и да продължи да се счита за оторизиран потребител.

Единствената засегната версия на разширението за Chrome е 24.10.4, като зловредният код е бил активен само по Коледа и Бъдни вечер. Засегнати са били само клиенти, използващи браузъри, базирани на Chrome, които са се актуализирали автоматично в периода на атаката.

За браузърите, в които е било използвано компрометираното разширение, Cyberhaven потвърди, че то „може да е ексфилтрирало бисквитки и удостоверени сесии за определени целеви уебсайтове“. Първоначалното разследване предполага, че целевите входни данни са били платформи за реклама в социалните медии и за изкуствен интелект.

Когато става въпрос за тази конкретна атака, Cyberhaven уведоми засегнатите клиенти, както и тези, за които не е известно, че са засегнати, с цел пълна прозрачност. Зловредното разширение за Chrome беше премахнато от уеб магазина на Chrome и автоматично беше внедрена защитена версия 24.10.5.

Снимка: Unsplash/Cyberhaven

Виж още: Учени изследват лекарства за дълголетие за кучета, които биха могли да удължат и човешкия живот