Onderzoekers van Gitlab hebben zestien schadelijke Chrome-extensies.pdfontdekt die frauduleuze code injecteerden en beveiligingsmaatregelen tegen cross-site scripting (XSS) uitschakelden. Deze malafide extensies werden door meer dan 3,2 miljoen gebruikers gedownload. Na melding zijn ze door Google uit de Chrome Web Store verwijderd, maar gebruikers moeten ze handmatig van hun systemen verwijderen.
Overname van ontwikkelaarsaccounts
De aanvallers verkregen toegang tot de accounts van ontwikkelaars via phishing, zonder een directe hack. Sinds juli 2024 bevatten diverse extensies Trojaanse code. Dit verzwakte de browserbeveiliging en zorgde ervoor dat schadelijke code buiten de extensies zelf verborgen bleef. De aanvalsketen is deels gereproduceerd en suggereert een mogelijke betrokkenheid van de aanvallers bij phishingkits. De schadelijke extensies lekten gevoelige informatie en vormden een potentieel toegangspunt tot bredere systemen.
Software supply chain-aanval
In december 2024 voerden de aanvallers een supply chain-aanval uit door gecompromitteerde ontwikkelaarsaccounts te misbruiken. Kwaadaardige updates werden verspreid via de Chrome Web Store en exfiltreerden gegevens uit HTTP-headers en de Document Object Model (DOM)-content. Clusters van schadelijke extensies werden geïdentificeerd en in januari 2025 door Google verwijderd.
Functionaliteit en verspreiding
De schadelijke extensies leken normaal te functioneren en omvatten tools zoals emoji-toetsenborden, adblockers en proxy-tools. Ze bevatten echter service worker-code die na installatie contact maakte met een configuratieserver. Deze server verzamelde gegevens zoals versienummers en unieke ID’s en gaf aangepaste configuraties door, die lokaal werden opgeslagen.
Het update-mechanisme van de extensies werd misbruikt via een alarmfunctie, die periodieke updates initieerde. Elke webaanvraag verwijderde automatisch de Content Security Policy (CSP)-header, waardoor bescherming tegen XSS-aanvallen werd omzeild. Dit was een directe schending van het beleid van de Chrome Web Store en maakte gebruikers kwetsbaar voor verdere aanvallen.
Brede operatie door cybercriminelen
De onderzoekers identificeerden ook phishingkits die schadelijke scripts hosten. Zo werd een nagemaakte pagina van McGill University ontdekt, evenals een phishingkit gericht op de Zwitserse spoorwegen SBB CFF FFS. De exacte connectie tussen deze phishingkits en de aanvallers is niet volledig vastgesteld, maar er zijn sterke aanwijzingen dat zij deel uitmaken van een grotere cybercriminele operatie.
Deze aanvalscampagne vormt een significante dreiging voor webbrowsers en brengt zowel individuen als organisaties in gevaar. Omdat browsers vaak gevoelige gegevens verwerken, is detectie complex en kunnen aanvallen snel worden uitgevoerd.
Het misbruik van het update-mechanisme van de Chrome Web Store was een cruciale factor in het succes van deze aanval. Net als bij de supply chain-aanval in december 2024 werd kwaadaardige code via updates verspreid, wat de risico’s van automatische browserextensie-updates benadrukt. Vooral het feit dat de controle over extensies ongemerkt kan veranderen, maakt dergelijke aanvallen bijzonder gevaarlijk.
Door: Drifter
Aanbevolen Reacties
Er zijn geen reacties om weer te geven.
Log in om te reageren
Je kunt een reactie achterlaten na het inloggen
Login met de gegevens die u gebruikt bij softtrack