Сразу после католического Рождества стало известно о многоэтапной атаке на разработчиков популярных расширений Google Chrome. Самой известной целью по иронии судьбы стало ИБ-расширение от компании Cyberhaven, скомпрометированное прямо перед праздниками (о таких рисках мы предупреждали). По мере расследования инцидента список пополнился как минимум 35 популярными расширениями с суммарным числом установок 2,5 млн копий. Целью злоумышленников является похищение данных из браузеров пользователей, которые установили троянизированные обновления расширений. В ходе данной кампании преступники фокусировались на похищении учетных данных от сервисов Meta* с целью компрометации чужих бизнес-аккаунтов и запуска своей рекламы за чужой счет. Но, в теории, вредоносные расширения позволяют похищать и другие данные из браузера. Рассказываем о том, как устроена атака и какие меры принять для защиты на разных ее этапах.
Оглавление
Атака на разработчиков: злоупотребление OAuth
Чтобы внедрить троянскую функциональность в популярные расширения Chrome, преступники разработали оригинальную систему фишинга. Они рассылают разработчикам письма, замаскированные под стандартные оповещения Google о том, что расширение нарушает политики Chrome Web Store и его описание необходимо скорректировать. Текст и верстка сообщения хорошо мимикрируют под типовые аналогичные письма Google, поэтому для жертвы письмо выглядит убедительно. Более того, во многих случаях письмо отправляется с домена, специально зарегистрированного для атаки на конкретное расширение и содержащего название расширения прямо в имени домена.
Клик по ссылке в письме приводит на легитимную страницу аутентификации Google. Пройдя ее, разработчик видит еще один стандартный экран Google, предлагающий авторизоваться по OAuth в приложении Privacy Policy Extension и в рамках входа в это приложение дать ему определенные права. Эта стандартная процедура проходит на легитимных страницах Google, только приложение Privacy Policy Extension запрашивает права на публикацию расширений в Web Store. Если разработчик дает такое разрешение, то авторы Privacy Policy Extension получают возможность публикации обновлений в Web Store от лица жертвы.
В данном случае атакующие не крадут пароль и другие реквизиты доступа разработчика, не обходят MFA. Они просто злоупотребляют системой Google по делегированию прав, чтобы выманить у разработчика разрешение на обновление его расширения. Судя по длинному списку зарегистрированных злоумышленниками доменов, они пытались атаковать гораздо больше, чем 35 расширений. В тех случаях, когда атака проходила успешно, они выпускали обновленную версию расширения, добавляя в него два файла, ответственные за кражу куки-файлов и других данных Facebook** (worker.js и content.js).
Атака на пользователей расширений
Расширения в Chrome, как правило, обновляются автоматически, поэтому те пользователи, которые включали свой компьютер в период с 25 по 31 декабря и запускали Chrome, могли получить зараженное обновление ранее установленного расширения.
Если пользователь получил скомпрометированное обновление, вредоносный скрипт начинает работать в его браузере, отправляя на сервер злоумышленников нужные им данные для компрометации бизнес-аккаунта Facebook**. Кроме идентификаторов Facebook** и куки, зловред крадет другую информацию, требуемую для успешного входа в рекламный кабинет, например идентификатор браузера (user-agent). На сайте facebook.com перехватываются даже данные о кликах мыши, чтобы помогать преступникам обойти капчу и двухфакторную аутентификацию. Если жертва управляет рекламой своей организации или частного бизнеса в Meta*, то преступники получают возможность тратить рекламный бюджет организации и размещать новую рекламу. Обычно злоумышленники начинают продвижение мошеннических схем и вредоносных сайтов (malvertising). Кроме прямых финансовых потерь для атакованной организации это несет юридические и репутационные риски, ведь мошенническая реклама публикуется от ее имени.
Вредоносные функции в принципе позволяют похищать данные и от других сайтов, поэтому стоит проверить свой браузер, даже если вы не имеете отношения к рекламе в Facebook**.
Что делать, если вы установили зараженную версию расширения
Чтобы прекратить кражу информации из браузера, нужно удалить скомпрометированное расширение или обновить его до уже вылеченной версии. На этом сайте ведется список всех известных зараженных расширений с указанием статуса исправления.
К сожалению, просто удалить или обновить зараженное расширение недостаточно.
Во-первых, нужно обновить пароли и API-ключи, которые были сохранены в браузере или использовались в период инцидента.
Во-вторых, нужно изучить доступные логи, чтобы проверить, велась ли коммуникация с серверами атакующих. IoC доступны здесь и здесь. Если коммуникация велась, необходимо искать следы несанкционированного доступа во всех сервисах, которые были открыты в зараженном браузере.
В-третьих, если из зараженного браузера имелся доступ к рекламным кабинетам Meta* или любым другим, необходимо вручную проверить всю запущенную рекламу и при необходимости удалить и отключить любую несанкционированную рекламную активность. После этого необходимо деактивировать сессии скомпрометированной учетной записи Facebook** на всех устройствах (Log out all other devices), очистить кэш и куки в браузере, заново зайти в Facebook** и сменить пароль для учетной записи.
Какие уроки извлечь из инцидента
Проблема троянизации обновлений является еще одной разновидностью атаки на цепочку поставок. В случае с Chrome она усугубляется тем, что обновления устанавливаются автоматически и незаметно для пользователя. И хотя обычно обновления — это благо, в данном случае механизм автообновления позволил быстро распространить вредоносное расширение. Чтобы снизить риски этого сценария, организациям рекомендовано:
использовать групповые политики или Google Admin console, чтобы ограничить установку расширений в браузер списком доверенных расширений;
формировать список доверенных расширений, исходя из бизнес-необходимости и анализируя ИБ-практики, применяемые разработчиками конкретного расширения;
использовать механизм закрепления версий (version pinning), чтобы отключить автоматические обновления расширений. Одновременно потребуется внедрить процесс контроля обновлений администраторами и централизованного обновления одобренных расширений;
убедиться, что на все устройства организации установлено решение EDR, обеспечивающее защиту от ВПО и мониторинг подозрительных событий.
Компаниям, которые публикуют ПО, в том числе веб-расширения, необходимо убедиться, что права на публикацию доступны минимальному числу сотрудников и в идеале — только со специального компьютера (privileged workstation), защищенного дополнительными слоями защиты, включая многофакторную аутентификацию и строгие настройки контроля запуска приложений и доступа к веб-сайтам. Уполномоченные на публикацию сотрудники обязаны регулярно проходить тренинги по информационной безопасности и знакомиться с новейшими тактиками злоумышленников, включая целевой фишинг.
* Компания Meta признана экстремистской организацией в Российской Федерации.
** Facebook, Instagram, Meta AI, WhatsApp принадлежат компании Meta, признанной экстремистской организацией в Российской Федерации.
Блог Касперского