Sécurité des points finaux, opérations de sécurité
Développeurs répertoriés comme points de contact publics ciblés par une campagne de phishing Mathew J. Schwartz (euroinfosec) • 3 janvier 2025
Image : Shutterstock
Une attaque contre la chaîne d’approvisionnement qui a détourné les extensions légitimes du navigateur Google Chrome est plus répandue que ce que les chercheurs en sécurité soupçonnaient au départ.
Voir aussi : OnDemand : Sécuriser la croissance des données à l’ère du cloud : stratégies pour la cyber-résilience
Les chercheurs ont identifié trois douzaines d’extensions Chrome, utilisées collectivement par 2,6 millions de personnes, dans lesquelles un attaquant a injecté un malware voleur de données (voir : Les pirates lancent une attaque contre la chaîne d’approvisionnement contre les extensions Chrome).
“À l’heure actuelle, la portée des extensions compromises semble être contenue, jusqu’à présent, un total de 36 extensions Chrome compromises ont été détectées.” dit Amit Assaraf, PDG d’ExtensionTotal.com, une startup qui construit une plate-forme conçue pour mieux surveiller et sécuriser les extensions tierces, dans un article de blog.
Une extension Chrome récemment compromise est attribuée à la startup de cybersécurité Cyberhaven, qui propose une extension de navigateur Chrome éponyme conçue pour protéger les données d’entreprise contre les menaces internes, y compris les expositions accidentelles.
ExtensionTotal a déclaré qu’environ 400 000 personnes semblent utiliser l’extension de Cyberhaven ; tous n’auraient pas été touchés.
Cyberhaven a averti ses clients pour la première fois le 26 décembre qu’un de ses employés avait été victime d’une attaque de phishing, ce qui a permis à l’attaquant de télécharger une version modifiée de l’extension avec du code malveillant ajouté. La société a déclaré que l’attaque “n’a affecté que les machines qui étaient en ligne entre 1h32 UTC le 25 décembre 2024 et 2h50 UTC le 26 décembre 2024”, qui exécutaient la version 24.10.4 de son extension.
La société a mis à jour l’extension vers la version 24.10.5, supprimant le code malveillant. PDG Howard Ting exhorté les clients de « forcer une mise à jour » vers cette version ou vers une version plus récente, affirmant que seule une version légitime était alors hébergée sur le Chrome Web Store.
Dans une analyse préliminaire de l’incident publiée le 27 décembre, la société dit l’attaquant a utilisé un flux d’autorisation légitime de Google pour tenter de tromper les développeurs ciblés afin qu’ils ajoutent une application OAuth Google malveillante appelée « Extension de politique de confidentialité ». Le flux d’autorisation étant légitime, le processus n’était protégé par aucune invite d’authentification multifacteur.
Tout développeur ayant autorisé par inadvertance l’extension malveillante de politique de confidentialité a donné à l’attaquant la possibilité de télécharger une version modifiée de l’extension, avec un logiciel malveillant récupérant des données. Cyberhaven a déclaré que l’objectif des attaquants semblait être de voler les mots de passe des comptes Facebook personnels et professionnels des utilisateurs de l’extension, et il a recommandé à tous les utilisateurs de faire pivoter ces mots de passe sur toutes les machines affectées, ainsi que « d’examiner tous les journaux pour vérifier qu’il n’y a aucune connexion sortante vers le domaine de l’attaquant ». ou toute autre activité malveillante.
Jaime Blasco, chercheur chevronné en cybersécurité, co-fondateur et CTO de Nudge Security, détaillé dans une publication LinkedIn, certaines des autres extensions Chrome compromises, notamment VPN interne, VPNVille, Voix et Discussions sur les perroquets.
“Je vous recommande de les rechercher dans votre environnement”, a-t-il déclaré. “Recherchez également tout trafic vers 149.28.124.84”, qui est l’URL du serveur de commande et de contrôle de l’attaquant.
Attaques de phishing
Les détails partagés par Cyberhaven et d’autres développeurs suggèrent que celui qui était à l’origine de la campagne de phishing ciblait les développeurs répertoriés comme points de contact publics pour diverses extensions Chrome.
Les attaques semblent avoir commencé vers le 5 décembre. Développeur Denis Podgurskii signalé avoir vu une “arnaque des développeurs d’extensions Chrome”, après avoir reçu ce jour-là un e-mail de phishing concernant l’extension OWASP Penetration Testing Kit qu’il gère, lié à une prétendue violation des règles du Chrome Web Store. Le kit de test d’intrusion compte 20 000 utilisateurs de Chrome et est également disponible pour les utilisateurs des navigateurs Firefox et Microsoft Edge.
Podgurskii a déclaré que l’e-mail avait été envoyé depuis [email protected] – une adresse que Chrome n’utiliserait jamais – le domaine ayant été enregistré pour la première fois le 29 septembre. L’e-mail lui-même comprenait un lien « aller à la politique » vers un site malveillant avec ce domaine n’ayant été enregistré que le 29 novembre.
“Si vous ouvrez ce lien (utilisez le navigateur sandbox !), il vous demandera de vous connecter en utilisant votre compte de développeur Chrome (merci mais non)”, a-t-il déclaré.
Une semaine plus tard, un membre du groupe Google Chromium Extensions averti aux utilisateurs de « se méfier du phishing dans le Chrome Web Store », sur la base d’une attaque sauvage.
“Je voulais juste alerter les gens d’un e-mail de phishing plus sophistiqué que d’habitude que nous avons reçu et qui faisait état d’une violation de la politique de l’extension Chrome”, selon son message. “Le lien contenu dans cet e-mail ressemble à la boutique en ligne, mais renvoie vers un site Web de phishing qui tentera de prendre le contrôle de votre extension Chrome et la mettra probablement à jour avec un logiciel malveillant.”
“Vous nous avez sauvés”, a répondu un développeur au groupe quelques heures plus tard, partageant un e-mail qu’il avait reçu de [email protected] qui avait par ailleurs le “format exact” d’un message du Chrome Store.
Les e-mails de phishing semblent provenir non seulement de forextensions.com mais également de chromeforextension.com et supportchromestore.com, BleepingComputer. signalénotant que les versions antérieures de la campagne pourraient dater de mars 2024, sur la base des sous-domaines de commande et de contrôle suivis.
Outils de détection des attaques
Les attaquants ne semblent pas avoir réinventé la roue pour cibler différentes extensions Chrome, ce qui signifie que les chercheurs ont constaté des indicateurs de compromission similaires dans toutes les extensions compromises.
Cyberhaven mardi libéré un ensemble d’outils open source, gratuits sur son référentiel GitHub, conçus pour rechercher ces signes d’attaque.
“Ce référentiel contient divers scripts et ressources qui aident à identifier les versions de l’extension Chrome et à rechercher dans le stockage local Chrome des entrées potentiellement malveillantes”, selon les notes de version. “Ces scripts recherchent des entrées indiquant qu’une extension malveillante a exfiltré des données.”
La société a déclaré qu’elle pensait que les scripts pourraient également aider à détecter les futures attaques Zero Day – à condition que les attaquants tentent de réutiliser des tactiques similaires – et à renforcer les outils de détection et de réponse des points finaux “dans les premières heures d’un Zero Day, avant que les solutions EDR ne mettent à jour leurs bases de données”. ” ainsi que pour les organisations et les consommateurs qui ne disposent pas d’outils EDR pour détecter de telles attaques.
#extensions #Chrome #compromises #dans #une #attaque #chaîne #dapprovisionnement