W oficjalnym sklepie internetowym Chrome wykryto ponad sto złośliwych rozszerzeń. Są one przeznaczone do kradzieży tokenów OAuth2 Bearer Google, instalowania backdoorów i przeprowadzania oszustw reklamowych. Badacze z firmy Socket ustalili, że rozszerzenia te są częścią skoordynowanej kampanii. W ramach tej kampanii wykorzystywana jest wspólna infrastruktura zarządzania i kontroli.
Napastnicy publikowali rozszerzenia w imieniu pięciu różnych kont deweloperskich. Rozszerzenia były prezentowane w kilku kategoriach. Znalazły się wśród nich klienci dla bocznego panelu Telegrama, gry w formacie slotów i Keno, rozszerzenia do poprawy działania YouTube i TikToka, narzędzie do tłumaczenia tekstu, a także różne utility.
Badacze odkryli, że kampania wykorzystuje scentralizowany backend. Jest on hostowany na hostingu VPS Contabo. Za pośrednictwem różnych subdomen napastnicy realizują przechwytywanie sesji, zbieranie danych identyfikacyjnych, wykonywanie poleceń i operacje monetyzacji. Firma Socket znalazła oznaki, że za kampanią stoi rosyjskojęzyczny model „złośliwego oprogramowania jako usługi”. Wskazują na to komentarze w kodzie związane z uwierzytelnianiem i kradzieżą sesji.
Zbieranie danych i przejmowanie kont jest zorganizowane na kilka sposobów. Największy klaster, obejmujący 78 rozszerzeń, wstrzykuje złośliwy kod HTML do interfejsu za pośrednictwem właściwości innerHTML. Druga co do wielkości grupa, licząca 54 rozszerzenia, wykorzystuje API chrome.identity.getAuthToken. Za pomocą tego API napastnicy zbierają adres e-mail użytkownika, jego imię, zdjęcie profilowe i identyfikator konta Google. Ponadto kradną token OAuth2 Bearer Google. Jest to token dostępu z krótkim cyklem życia, który pozwala aplikacjom uzyskiwać dostęp do danych użytkownika i wykonywać działania w jego imieniu.
Trzecia grupa 45 rozszerzeń zawiera ukrytą funkcję, uruchamianą przy starcie przeglądarki. Ta funkcja działa jako backdoor. Otrzymuje ona polecenia z serwera zarządzającego i może otwierać dowolne adresy URL. Do aktywacji tej funkcji nie jest wymagana interakcja użytkownika z rozszerzeniem. Jedno z rozszerzeń, które badacze uznali za najbardziej niebezpieczne, co piętnaście sekund przechwytuje sesje webowej wersji Telegrama. Wyodrębnia ono dane z lokalnego magazynu przeglądarki, w tym token sesji, i wysyła je na serwer napastników.
Rozszerzenie przetwarza przychodzącą wiadomość „set_session_changed”, wykonując operację odwrotną. Czyści ono lokalny magazyn użytkownika, zapisuje tam dane sesji dostarczone przez atakującego i wymusza przeładowanie Telegrama. Pozwala to napastnikom na niezauważalne przełączenie przeglądarki ofiary na inne konto Telegram.
Badacze odkryli również trzy rozszerzenia, które usuwają nagłówki zabezpieczające i wstrzykują reklamy w YouTube i TikToku. Jedno rozszerzenie przekierowuje żądania tłumaczeń przez złośliwy serwer. Kolejne rozszerzenie było nieaktywne i przeznaczone do kradzieży sesji Telegrama z wykorzystaniem przygotowanej infrastruktury.
Firma Socket powiadomiła Google o tej kampanii. Jednak w momencie publikacji raportu złośliwe rozszerzenia były nadal dostępne w sklepie Chrome Web Store. Użytkownikom zaleca się sprawdzenie zainstalowanych rozszerzeń według listy identyfikatorów opublikowanej przez Socket i natychmiastowe usunięcie wszystkich zgodnych pozycji.