Uç Nokta Güvenliği, Güvenlik Operasyonları
Kimlik Avı Kampanyasında Hedeflenen Genel İrtibat Noktaları Olarak Listelenen Geliştiriciler
Mathew J. Schwartz (euroinfosec) •
3 Ocak 2025
Meşru Google Chrome tarayıcı uzantılarını altüst eden bir tedarik zinciri saldırısı, güvenlik araştırmacılarının ilk şüphelendiğinden daha yaygın.
Ayrıca bakınız: Kodu Kırmak: Makine Kimliklerini Korumak
Araştırmacılar, toplu olarak 2,6 milyon kişi tarafından kullanılan ve bir saldırganın veri çalan kötü amaçlı yazılımlar yerleştirdiği üç düzine Chrome uzantısı belirledi (bkz.: Bilgisayar Korsanları Chrome Uzantılarına Tedarik Zinciri Saldırısı Başlattı).
Daha iyi izleme ve izleme için tasarlanmış bir platform oluşturan bir girişim olan ExtensionTotal.com’un CEO’su Amit Assaraf, “Şu anda, güvenliği ihlal edilmiş uzantıların kapsamı sınırlı görünüyor; şu ana kadar toplam 36 güvenliği ihlal edilmiş Chrome uzantısı tespit edildi” dedi. bir blog gönderisinde üçüncü taraf uzantılarını güvenli hale getirin.
Tarayıcı uzantıları, onları altüst etmeye ve mağdurların tarayıcılarına ve şifreler ve oturum çerezleri dahil depoladıkları verilere erişmeye çalışan saldırganlar için düzenli bir hedeftir.
Yakın zamanda ele geçirilen bir Chrome uzantısının, kurumsal verileri kazara açığa çıkma da dahil olmak üzere içeriden gelen tehditlere karşı korumak için tasarlanmış, adını taşıyan bir Chrome tarayıcı uzantısı sunan siber güvenlik girişimi Cyberhaven’a dayandığı belirlendi.
ExtensionTotal, yaklaşık 400.000 kişinin Cyberhaven uzantısını kullandığını söyledi; hepsi etkilenmeyecekti.
Cyberhaven, müşterilerini ilk kez 26 Aralık’ta, çalışanlarından birinin bir kimlik avı saldırısının kurbanı olduğu ve bunun sonucunda saldırganın, kötü amaçlı kod eklenmiş uzantının değiştirilmiş bir sürümünü yükleyebileceği konusunda uyarmıştı. Şirket, saldırının “yalnızca 25 Aralık 2024 saat 1:32 UTC ile 26 Aralık 2024 saat 02:50 UTC arasında çevrimiçi olan ve uzantısının 24.10.4 sürümünü çalıştıran makineleri etkilediğini” söyledi.
Şirket, uzantıyı 24.10.5 sürümüne güncelleyerek kötü amaçlı kodu kaldırdı. CEO Howard Ting, müşterilerini bu sürüme veya daha yeni bir sürüme “zorla güncelleme” yapmaya çağırdı ve o zamana kadar Chrome Web Mağazası’nda yalnızca meşru bir sürümün barındırıldığını söyledi.
27 Aralık’ta açıklanan olayla ilgili ön analizde şirket, saldırganın, hedeflenen geliştiricileri “Gizlilik Politikası Uzantısı” adı verilen kötü amaçlı bir OAuth Google uygulaması eklemeleri için kandırmak amacıyla meşru bir Google yetkilendirme akışı kullandığını söyledi. Yetkilendirme akışı meşru olduğu için süreç herhangi bir çok faktörlü kimlik doğrulama istemi tarafından korunmuyordu.
Kötü amaçlı Gizlilik Politikası Uzantısına yanlışlıkla izin veren herhangi bir geliştirici, saldırgana, veri ele geçiren kötü amaçlı yazılım içeren uzantının değiştirilmiş bir sürümünü yükleme yeteneği verdi. Cyberhaven, saldırganların hedefinin, uzantı kullanıcılarından hem kişisel hem de ticari Facebook hesaplarının şifrelerini çalmak olduğunu söyledi ve tüm kullanıcılara, etkilenen makinelerdeki bu şifreleri değiştirmenin yanı sıra “saldırganın etki alanına giden bağlantı olmadığını doğrulamak için tüm günlükleri incelemesini” tavsiye etti. veya diğer kötü amaçlı faaliyetler.”
Nudge Security’nin kurucu ortağı ve CTO’su olan deneyimli siber güvenlik araştırmacısı Jaime Blasco, bir LinkedIn gönderisinde Internxt VPN, VPNCity, Uvoice ve ParrotTalks dahil olmak üzere güvenliği ihlal edilen diğer Chrome uzantılarından bazılarını ayrıntılı olarak açıkladı.
“Onları çevrenizde aramanızı öneririm” dedi. Saldırganın komuta ve kontrol sunucusunun URL’si olan “149.28.124.84’e giden trafiği de arayın”.
Kimlik Avı Saldırıları
Cyberhaven ve diğer geliştiriciler tarafından paylaşılan ayrıntılar, kimlik avı kampanyasının arkasında kim varsa, çeşitli Chrome uzantıları için genel iletişim noktaları olarak listelenen geliştiricileri hedef aldığını gösteriyor.
Saldırılar 5 Aralık civarında başlamış gibi görünüyor. Geliştirici Denis Podgurskii, o gün, Chrome’un sözde ihlaliyle bağlantılı olarak elinde bulundurduğu OWASP Penetrasyon Test Kiti uzantısıyla ilgili bir kimlik avı e-postası aldıktan sonra bir “Chrome uzantısı geliştirici dolandırıcılığı” gördüğünü bildirdi. Web Mağazası kuralları. Sızma testi kiti 20.000 Chrome kullanıcısını kapsamaktadır ve ayrıca Firefox ve Microsoft Edge tarayıcı kullanıcıları için de mevcuttur.
Podgurskii, e-postanın kimden gönderildiğini söyledi [email protected] – Chrome’un asla kullanmayacağı bir adres – alan adı ilk kez 29 Eylül’de kaydedildi. E-postanın kendisi, kötü amaçlı siteye yönlendiren bir “politikaya git” bağlantısı içeriyordu. https://app.extensionpolicy.net/check-policybu alan adı yalnızca 29 Kasım’da kaydedilmiştir.
“Bu bağlantıyı açarsanız (sanal alan tarayıcısını kullanın!), sizden Chrome geliştirici hesabınızı kullanarak giriş yapmanızı isteyecektir (teşekkürler ama hayır)” dedi.
Bir hafta sonra, Chromium Extensions Google Grubu’nun bir üyesi, yaygın bir saldırıya dayanarak kullanıcıları “Chrome Web Mağazası’nda kimlik avına karşı dikkatli olmaları” konusunda uyardı.
Gönderisine göre, “İnsanları, Chrome Uzantısı politikasının ihlal edildiğini belirten, normalden daha karmaşık bir kimlik avı e-postası aldığımız konusunda uyarmak istedim.” “Bu e-postadaki bağlantı web mağazasına benziyor ancak Chrome uzantınızın kontrolünü ele geçirmeye ve muhtemelen kötü amaçlı yazılımla güncellemeye çalışacak bir kimlik avı web sitesine gidiyor.”
Saatler sonra bir geliştirici gruba “Bizi kurtardınız” diye yanıt verdi ve kendisinden aldığı bir e-postayı paylaştı. [email protected] aksi takdirde bir Chrome Mağazası mesajının “tam biçimine” sahipti.
Kimlik avı e-postaları yalnızca forextensions.com ama aynı zamanda chromeforextension.com Ve supportchromestore.comBleepingComputer’ın haberine göre, kampanyanın önceki sürümlerinin, takip ettiği komuta ve kontrol alt alan adlarına bağlı olarak Mart 2024’ten itibaren çıkabileceği belirtiliyor.
Saldırıları Tespit Etmeye Yönelik Araçlar
Saldırganlar, farklı Chrome uzantılarını hedeflemek için tekerleği yeniden icat etmiş gibi görünmüyor; bu, araştırmacıların güvenliği ihlal edilen tüm uzantılarda benzer güvenlik ihlali göstergeleri gördüğü anlamına geliyor.
Cyberhaven Salı günü, bu saldırı işaretlerini aramak için tasarlanan bir dizi açık kaynaklı aracı GitHub deposunda ücretsiz olarak yayınladı.
Sürüm notlarına göre “Bu depo, Chrome uzantısı sürümlerini belirlemeye ve potansiyel olarak kötü amaçlı girişler için Chrome yerel depolama alanında arama yapmaya yardımcı olan çeşitli komut dosyaları ve kaynaklar içeriyor.” “Bu komut dosyaları, kötü amaçlı bir uzantının verileri sızdırdığını belirten girişleri arar.”
Şirket, saldırganların benzer taktikleri yeniden kullanmaya çalışması koşuluyla, komut dosyalarının gelecekteki sıfır gün saldırılarını tespit etmeye yardımcı olabileceğine ve “sıfır günün ilk saatlerinde, EDR çözümleri veritabanlarını güncellemeden önce” uç nokta tespit ve yanıt araçlarını güçlendirebileceğine inandığını söyledi. ” ayrıca bu tür saldırıları tespit edecek EDR araçlarına sahip olmayan kuruluşlar ve tüketiciler için de geçerlidir.