Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Złośliwe rozszerzenia przeglądarki od lat pozostają niedoszacowanym zagrożeniem, mimo że działają bezpośrednio w środowisku pracy użytkownika i często otrzymują bardzo szerokie uprawnienia. Mogą odczytywać zawartość stron, modyfikować ją, śledzić aktywność, a w skrajnych przypadkach przejmować sesje i wykonywać polecenia pobierane z zewnętrznej infrastruktury.
Najnowsza ujawniona kampania pokazuje skalę problemu. Badacze zidentyfikowali ponad 100 rozszerzeń Chrome powiązanych z jedną infrastrukturą dowodzenia i kontroli, które łączyły pozornie legalne funkcje z ukrytym kodem służącym do kradzieży danych oraz utrzymywania kanału zdalnej kontroli nad przeglądarką.
W skrócie
Kampania objęła 108 rozszerzeń Chrome i według ustaleń miała dotknąć co najmniej 20 tysięcy instalacji. Złośliwe dodatki publikowano z użyciem pięciu różnych kont deweloperskich, co mogło utrudniać wykrycie oraz analizę całej operacji.
- Część rozszerzeń przechwytywała tokeny Google OAuth2.
- Niektóre dodatki umożliwiały kradzież lub przejęcie sesji Telegram Web.
- Wybrane rozszerzenia wstrzykiwały reklamy do popularnych serwisów.
- 45 dodatków zawierało uniwersalny backdoor otwierający wskazany adres URL po starcie przeglądarki.
- Wiele elementów kampanii korzystało ze wspólnej infrastruktury C2.
Kontekst / historia
Ataki poprzez rozszerzenia przeglądarek nie są nowością, jednak ich skuteczność rośnie wraz z popularnością dodatków obiecujących wygodne funkcje dla codziennej pracy i rozrywki. Użytkownicy chętnie instalują narzędzia związane z tłumaczeniem treści, obsługą mediów społecznościowych, platform wideo, komunikatorów czy prostą personalizacją usług online.
W opisywanym przypadku szczególnie istotna jest spójność techniczna całej operacji. Choć rozszerzenia wyglądały na zróżnicowane pod względem zastosowań i były publikowane pod nazwami sugerującymi różne funkcje, w praktyce wykorzystywały wspólne zaplecze operacyjne. To wskazuje na centralnie zarządzaną kampanię, a nie zbiór przypadkowych incydentów.
Analiza techniczna
Najgroźniejszym elementem kampanii było połączenie użytecznej, widocznej dla użytkownika funkcjonalności z ukrytym kodem działającym w tle. Dzięki temu rozszerzenia nie budziły od razu podejrzeń, ponieważ realizowały część obiecywanych zadań, a jednocześnie komunikowały się z serwerami atakujących.
Według ustaleń badaczy około połowa dodatków zawierała identyczną logikę służącą do pozyskiwania tokenu Google OAuth2 Bearer podczas logowania. Następnie zbierane dane o ofierze były przesyłane do zdalnego serwera. Taki mechanizm może wspierać dalsze przejęcia tożsamości, phishing ukierunkowany lub nadużycia wobec kont powiązanych z ekosystemem Google.
Szczególnie niebezpieczna była grupa 45 rozszerzeń z uniwersalnym backdoorem osadzonym w skrypcie tła. Po uruchomieniu przeglądarki mechanizm otwierał nową kartę z adresem URL dostarczonym dynamicznie przez serwer C2. W praktyce dawało to operatorom możliwość elastycznego przekierowywania ofiary do stron phishingowych, kampanii reklamowych, złośliwych ładunków webowych lub innych etapów ataku.
Osobną kategorię stanowiły dodatki związane z Telegramem. Jeden z nich miał przechwytywać aktywną sesję Telegram Web i umożliwiać przejęcie konta przez manipulację danymi zapisanymi lokalnie oraz wymuszenie ponownego załadowania aplikacji. Inny pozwalał aktywować złośliwy ładunek bez konieczności publikowania nowej wersji dodatku w sklepie, co zwiększało elastyczność działań operatora i utrudniało wykrycie zmian.
Do działań przypisywanych kampanii należało także wstrzykiwanie reklam do serwisów takich jak YouTube i TikTok, osadzanie skryptów na odwiedzanych stronach oraz przekierowywanie żądań tłumaczeń przez serwer kontrolowany przez atakującego. Każde z tych zachowań zwiększało powierzchnię ataku i otwierało drogę do monetyzacji poprzez śledzenie aktywności, nadużycia reklamowe oraz kradzież danych.
Konsekwencje / ryzyko
Skutki takiej kampanii są poważne zarówno dla użytkowników indywidualnych, jak i dla organizacji. Rozszerzenie zainstalowane w przeglądarce może uzyskać dostęp nie tylko do treści stron, ale również do sesji logowania, danych profilowych, tokenów tożsamości oraz informacji wyświetlanych w aplikacjach SaaS.
Dla użytkownika końcowego oznacza to ryzyko przejęcia kont komunikacyjnych, nadużycia tożsamości Google, ekspozycji danych osobowych i przekierowania do dalszych oszustw. Dla firm zagrożenie jest jeszcze szersze, ponieważ przeglądarka pracownika bywa punktem dostępu do poczty webowej, paneli administracyjnych, systemów CRM, narzędzi współpracy i platform chmurowych.
Dodatkowym problemem jest trwałość mechanizmu. Jeżeli złośliwa logika kontaktuje się z serwerem C2 przy każdym uruchomieniu przeglądarki, operator może w dowolnym momencie zmienić charakter kampanii. Rozszerzenie, które początkowo pełniło rolę adware, może później zostać przekształcone w narzędzie phishingowe lub komponent wspierający przejmowanie sesji.
Rekomendacje
Organizacje powinny traktować rozszerzenia przeglądarek jak pełnoprawny element powierzchni ataku. Oznacza to konieczność objęcia ich politykami bezpieczeństwa, kontrolą uprawnień i regularnym przeglądem podobnym do tego, jaki stosuje się wobec aplikacji desktopowych oraz mobilnych.
- Przeprowadzić audyt wszystkich zainstalowanych rozszerzeń.
- Usunąć dodatki niewymagane biznesowo lub pochodzące od niezweryfikowanych wydawców.
- Monitorować rozszerzenia żądające dostępu do wszystkich odwiedzanych stron.
- Analizować ruch sieciowy przeglądarek pod kątem połączeń do nietypowych domen i serwerów C2.
- Wymusić ponowne uwierzytelnienie i rotację sesji dla użytkowników narażonych na kontakt z podejrzanymi dodatkami.
- Przeglądać logi logowania Google i innych usług SaaS pod kątem anomalii.
- Stosować listy dozwolonych rozszerzeń i blokować samodzielną instalację w środowiskach zarządzanych.
- Edukować użytkowników, że obecność dodatku w oficjalnym sklepie nie gwarantuje bezpieczeństwa.
W razie podejrzenia kompromitacji nie należy ograniczać się do odinstalowania dodatku. Konieczne może być unieważnienie aktywnych sesji, zmiana haseł, przegląd tokenów aplikacyjnych oraz ocena, czy nie doszło do przejęcia kont federacyjnych lub sesji komunikatorów.
Podsumowanie
Kampania obejmująca 108 rozszerzeń Chrome pokazuje, że przeglądarka pozostaje jednym z najważniejszych obszarów ryzyka w nowoczesnym środowisku pracy. Połączenie legalnie wyglądającej funkcjonalności, wspólnej infrastruktury C2, kradzieży danych tożsamościowych, przejmowania sesji i mechanizmów backdoor tworzy wyjątkowo elastyczny model nadużycia.
Najważniejszy wniosek dla zespołów bezpieczeństwa jest jednoznaczny: rozszerzenia przeglądarki nie są drobnymi dodatkami użytkowymi, lecz uprzywilejowanym oprogramowaniem działającym wewnątrz krytycznej warstwy dostępu do usług online. Bez centralnego nadzoru mogą stać się skutecznym kanałem wycieku danych i przejęcia dostępu.
Źródła
- SecurityWeek – 100 Chrome Extensions Steal User Data, Create Backdoor
https://www.securityweek.com/100-chrome-extensions-steal-user-data-open-backdoor/