Фахівці з кібербезпеки виявили безпрецедентну за масштабами фішингову кампанію, спрямовану на розробників розширень для браузера Chrome. Внаслідок витончених атак зловмисники отримали доступ до 36 популярних розширень, якими користуються понад 2,6 мільйона осіб по всьому світу.
Анатомія складної OAuth-атаки
Зловмисники розгорнули витончену схему соціальної інженерії, використовуючи підроблені повідомлення нібито від імені Google. Розробники отримували попередження про можливі порушення правил Chrome Web Store та загрозу видалення їхніх розширень. Для підвищення достовірності атакуючі використовували спеціально зареєстровані домени-імітатори: supportchromestore[.]com, forextensions[.]com та chromeforextension[.]com.
Інноваційний метод обходу захисту
Особливість атаки полягає у використанні легітимного механізму OAuth для компрометації облікових записів розробників. При переході за фішинговим посиланням жертви потрапляли на справжню сторінку автентифікації Google, де шкідливий додаток Privacy Policy Extension запитував розширені права доступу. Примітно, що навіть налаштована багатофакторна автентифікація не могла запобігти атаці через особливості роботи OAuth-протоколу.
Масштаби та наслідки компрометації
Після отримання контролю над розширеннями зловмисники впроваджували шкідливі компоненти (worker.js та content.js), спрямовані на викрадення конфіденційних даних користувачів. Основною ціллю стала інформація, пов’язана з обліковими записами соціальних мереж, включаючи:
- Ідентифікатори користувачів та токени доступу
- Дані рекламних кабінетів
- Інформація бізнес-акаунтів
- QR-коди двофакторної автентифікації
Хронологія та розвиток атаки
Дослідження показало, що підготовка до кампанії розпочалася в березні 2024 року з реєстрації перших шкідливих доменів. Активна фаза атак стартувала 5 грудня 2024 року. За даними Extension Total, підтверджено компрометацію 36 розширень, хоча реальна кількість постраждалих може бути значно більшою.
Цей інцидент демонструє критичну важливість посиленої перевірки OAuth-запитів та регулярного аудиту наданих дозволів. Розробникам рекомендується впровадити додаткові механізми верифікації оновлень коду та проводити систематичний моніторинг активності своїх розширень. Користувачам браузера Chrome варто регулярно перевіряти встановлені розширення та їх права доступу, а також використовувати додаткові засоби захисту від фішингових атак.
