Эксперты по кибербезопасности обнаружили масштабную фишинговую кампанию, нацеленную на разработчиков расширений для браузера Chrome. В результате атак было скомпрометировано не менее 36 расширений с общей пользовательской базой более 2,6 миллиона человек.
Механика атаки: изощренный OAuth-фишинг
Злоумышленники использовали сложную схему социальной инженерии, рассылая разработчикам поддельные уведомления якобы от имени Google. В письмах сообщалось о предполагаемых нарушениях правил Chrome Web Store и угрозе удаления расширения. Для придания правдоподобности использовались специально зарегистрированные домены, имитирующие официальные ресурсы Google: supportchromestore[.]com, forextensions[.]com и chromeforextension[.]com.
Обход защитных механизмов
Особенность атаки заключалась в использовании легитимного механизма OAuth для получения доступа к учетным записям разработчиков. При переходе по ссылке жертвы попадали на настоящую страницу авторизации Google, где вредоносное приложение Privacy Policy Extension запрашивало разрешения на управление расширениями. Примечательно, что даже включенная многофакторная аутентификация (МФА) не могла предотвратить компрометацию, так как OAuth-авторизация не требует дополнительного подтверждения.
Последствия компрометации
После получения доступа атакующие внедряли в код расширений вредоносные компоненты (worker.js и content.js), предназначенные для кражи конфиденциальных данных пользователей. Основной целью злоумышленников стала информация, связанная с аккаунтами социальной сети Facebook*, включая:
- Идентификаторы пользователей
- Токены доступа
- Данные рекламных и бизнес-аккаунтов
- QR-коды двухфакторной аутентификации
Хронология и масштаб атаки
Исследование показало, что подготовка к атакам началась еще в марте 2024 года, когда были зарегистрированы первые вредоносные домены. Активная фаза кампании стартовала 5 декабря 2024 года. По данным Extension Total, подтверждено компрометация 36 расширений, однако реальное количество пострадавших может быть значительно больше.
Данный инцидент подчеркивает важность повышенной бдительности при работе с OAuth-авторизацией и необходимость тщательной проверки запрашиваемых разрешений, даже если они поступают через легитимные каналы. Разработчикам расширений рекомендуется внедрить дополнительные механизмы верификации обновлений и проводить регулярный аудит предоставленных OAuth-разрешений.
*Принадлежит компании Meta, деятельность которой признана экстремистской и запрещена на территории РФ.
