Хакеры взломали 35 Chrome-расширений, сделав потенциальными жертвами 2.6 млн пользователей — им грозит кража данных через фишинг и уязвимости OAuth
Хакеры взломали 35 расширений для Chrome, которыми пользуются около 2.6 млн человек.
Целью фишинговой кампании стали разработчики, которые через поддельные письма перенаправлялись на мошенническую авторизацию OAuth.
Атаку обнаружили в декабре 2024 года, но первая активность прослеживалась ещё в марте.
Механизм атаки
- Фишинговые письма: Разработчикам отправляли сообщения с доменов, имитирующих поддержку Google, с якобы нарушениями политик Chrome Web Store.
- OAuth-обман: Кнопка в письме вела на Google OAuth-страницу, где предлагалось предоставить доступ к управлению расширениями через приложение Privacy Policy Extension.
- Получение контроля: После одобрения, злоумышленники вносили изменения в расширения, добавляя вредоносный код.
Зловредный код и его цели
Хакеры внедряли скрипты worker.js и content.js, предназначенные для кражи данных пользователей *Facebook (принадлежит Meta, которую признали экстремистской организацией в РФ).
Код собирал идентификаторы, токены доступа и информацию о бизнес-аккаунтах, а также обходил двухфакторную аутентификацию через анализ QR-кодов.
Целью были бизнес-аккаунты для:
- запуска дезинформационных кампаний;
- кражи средств через прямые платежи;
- продажи доступов к аккаунтам.
Уязвимости системы
Атака продемонстрировала слабости в системе защиты Chrome Web Store.
Даже двухфакторная аутентификация не помогла, поскольку OAuth-процесс не требовал дополнительного подтверждения. Пользователи обновляли заражённые расширения автоматически.
Как защититься?
- Проверить установленные расширения и удалить подозрительные.
- Ограничить доступ к аккаунтам через подключённые приложения.
- Сообщить о вредоносном контенте через официальные каналы Google.