新たな攻撃キャンペーンは既知の Chrome ブラウザ拡張機能をターゲットにしており、少なくとも 16 の拡張機能が侵害され、60 万人以上のユーザーがデータ漏洩と認証情報の盗難にさらされています。
この攻撃は、フィッシング キャンペーンを通じて Chrome ウェブストア上のブラウザ拡張機能の発行者をターゲットにし、そのアクセス許可を利用して正規の拡張機能に悪意のあるコードを挿入し、Cookie とユーザー アクセス トークンを盗みました。
最初に暴露されたことが知られている企業は、サイバーセキュリティ企業 Cyberhaven でした。
12月27日、サイバーヘブン 開示された 攻撃者がブラウザの拡張機能を侵害し、悪意のあるコードを挿入して、ドメイン cyberhavenext(.)pro にある外部のコマンド アンド コントロール (C&C) サーバーと通信し、追加の構成ファイルをダウンロードし、ユーザー データを流出させたということです。
「ブラウザ拡張機能は Web セキュリティの弱い部分です」と CEO の Or Eshed 氏は言います。 LayerX セキュリティ、ブラウザ拡張機能のセキュリティに特化しています。 「ブラウザ拡張機能は無害であると考えられがちですが、実際には、Cookie、アクセス トークン、ID 情報などの機密性の高いユーザー情報に対する広範なアクセス許可が付与されることがよくあります。
「多くの組織は、エンドポイントにどのような拡張機能がインストールされているかすら把握しておらず、そのエクステンションがどの程度の危険にさらされているかも認識していません」とエシェド氏は言います。
Cyberhaven 侵害のニュースが伝えられると、同様に侵害され、同じ C&C サーバーと通信している追加の拡張機能がすぐに特定されました。
SaaS セキュリティ企業 Nudge Security の CTO、ジェイミー・ブラスコ氏は次のように述べています。 追加のドメインを解決することが特定されました Cyberhaven 侵害に使用された C&C サーバーと同じ IP アドレスに送信します。
現在侵害されている疑いのあるその他のブラウザ拡張機能には次のものがあります。
- AI アシスタント – Chrome 用 ChatGPT および Gemini
- Bard AI チャット拡張機能
- OpenAI を使用した GPT 4 の概要
- Chrome 用 Copilot AI アシスタントを検索
- TinaMInd AI アシスタント
- AIのあり方
- VPNシティ
- インターネット VPN
- Vindoz Flex ビデオ レコーダー
- VidHelper ビデオ ダウンローダー
- ブックマークファビコンチェンジャー
- カストルス
- 声
- リーダーモード
- オウムの話
- プリムス
これらの追加の侵害された拡張機能は、Cyberhaven が 1 回限りの標的ではなく、正規のブラウザ拡張機能をターゲットとした大規模な攻撃キャンペーンの一部であったことを示しています。
侵害された Cyberhaven の分析によると、悪意のあるコードは Facebook アカウント、特に Facebook ビジネス アカウントの ID データとアクセス トークンを標的としていたことが示されています。
 |
| 侵害された Cyberhaven ブラウザ拡張機能によって収集されたユーザー データ (出典: Cyberhaven) |
Cyberhaven によると、このブラウザ拡張機能の悪意のあるバージョンは公開されてから約 24 時間後に削除されたという。他の公開された拡張機能の一部も、すでに更新されているか、Chrome ウェブストアから削除されています。
しかし、拡張機能が Chrome ストアから削除されたという事実は、露出が終わったことを意味するものではないと Or Eshed 氏は言います。 「拡張機能の侵害されたバージョンがまだエンドポイント上に存在している限り、ハッカーはそれにアクセスしてデータを抜き出すことができます」と彼は言います。
セキュリティ研究者は、さらに公開された拡張機能を探し続けていますが、この攻撃キャンペーンの巧妙さと範囲により、多くの組織がブラウザ拡張機能を保護するためのハードルが高くなりました。
