Une récente campagne d’attaque a compromis 16 extensions du navigateur Chrome, exposant plus de 600 000 utilisateurs à un vol de données potentiel et à une compromission des informations d’identification. La campagne ciblait les éditeurs via le phishing, permettant aux attaquants d’injecter du code malveillant dans des extensions légitimes.
Extensions Chrome piratées : plus de 600 000 utilisateurs exposés
Le cabinet de cybersécurité Cyberhaven a été la première victime connue, un employé ayant été victime d’une attaque de phishing le 24 décembre. Cette faille a permis aux attaquants de publier une version malveillante de l’extension de Cyberhaven. Le 27 décembre, Cyberhaven a confirmé que l’extension était compromise et qu’un code malveillant avait été injecté pour interagir avec un serveur de commande et de contrôle (C&C) externe chez Cyberhavenext.[.]pro.
L’e-mail de phishing, déguisé en communication du support aux développeurs de Google Chrome Web Store, a créé un faux sentiment d’urgence, affirmant que l’extension du destinataire risquait d’être supprimée en raison de violations des règles. En cliquant sur le lien, ils ont été dirigés vers une application OAuth malveillante appelée « Extension de politique de confidentialité », qui a obtenu les autorisations nécessaires pour télécharger une version malveillante de l’extension.
Après la faille de Cyberhaven, les chercheurs ont identifié d’autres extensions compromises liées au même serveur C&C, notamment AI Assistant – ChatGPT et Gémeaux pour ChromeVPNCity et plusieurs autres. John Tuckner, fondateur de Secure Annex, a déclaré L’actualité des hackers que la campagne d’attaque pourrait remonter au 5 avril 2023.
L’enquête de Tuckner a relié Cyberhaven et les attaques associées via un code malveillant partagé dans l’extension « Reader Mode ». Certaines extensions compromises ciblaient les comptes Facebook, en particulier dans les publicités Facebook, dans le but d’exfiltrer les cookies et les jetons d’accès.
Cyberhaven a signalé que l’extension malveillante avait été supprimée environ 24 heures après sa mise en ligne. Cependant, il est averti qu’un code malveillant pourrait toujours récupérer les données des utilisateurs ayant installé la version compromise avant sa suppression. Les équipes de sécurité continuent d’enquêter sur d’autres extensions exposées dans le cadre de cette campagne plus large.
Vulnérabilité d’authentification à deux facteurs de Google Chrome
Au fur et à mesure que la faille Cyberhaven s’est développée, elle a révélé d’importantes vulnérabilités, notamment la possibilité pour les pirates de contourner les protections d’authentification à deux facteurs. Cyberhaven a confirmé que l’attaque ciblait spécifiquement les connexions aux plateformes de publicité sur les réseaux sociaux et d’IA.
La violation a commencé par une attaque de phishing compromettant les informations d’identification Google d’un employé, permettant à l’attaquant de télécharger une extension malveillante. Howard Ting, PDG de Cyberhaven, a confirmé que son équipe avait détecté l’extension malveillante peu de temps après sa mise en ligne le 25 décembre et l’avait supprimée dans l’heure.
La version compromise affectait uniquement les utilisateurs qui avaient mis à jour automatiquement Chrome pendant la fenêtre où le code malveillant était actif. Cyberhaven a pris des mesures rapides, en informant les clients et en déployant une version sécurisée de l’extension.
Cyberhaven a conseillé aux utilisateurs concernés de vérifier qu’ils avaient mis à jour leur extension, de révoquer et de permuter les mots de passe qui n’étaient pas conformes à FIDOv2, et d’examiner les journaux pour détecter toute activité suspecte. Ils ont engagé des sociétés de sécurité externes pour effectuer des analyses médico-légales et coopèrent avec les forces de l’ordre dans le cadre de leur réponse à la violation.
Cyberhaven a réaffirmé son engagement en faveur de la transparence et de l’amélioration continue de la sécurité à la lumière de l’incident.
Crédit image en vedette : Kerem Gülen/Milieu du voyage
