De nouveaux détails sont apparus sur une campagne de phishing ciblant les développeurs d’extensions du navigateur Chrome qui a conduit à la compromission d’au moins trente-cinq extensions pour injecter du code de vol de données, y compris ceux de la société de cybersécurité Cyberhaven.
Bien que les premiers rapports se soient concentrés sur l’extension axée sur la sécurité de Cyberhaven, les enquêtes ultérieures ont révélé que le même code avait été injecté dans au moins 35 rallonges collectivement utilisé par environ 2 600 000 personnes.
À partir de rapports sur LinkedIn et Groupes Google provenant de développeurs ciblés, la dernière campagne a débuté vers le 5 décembre 2024. Cependant, les sous-domaines de commande et de contrôle antérieurs trouvés par BleepingComputer existaient dès mars 2024.
“Je voulais simplement alerter les gens d’un e-mail de phishing plus sophistiqué que d’habitude que nous avons reçu et qui indiquait une violation de la politique de l’extension Chrome du formulaire : ‘Détails inutiles dans la description'”, lit-on dans le message adressé au groupe Chromium Extension du groupe Google.
“Le lien contenu dans cet e-mail ressemble à la boutique en ligne, mais renvoie vers un site Web de phishing qui tentera de prendre le contrôle de votre extension Chrome et la mettra probablement à jour avec un logiciel malveillant.”
Une chaîne d’attaque OAuth trompeuse
L’attaque commence par un e-mail de phishing envoyé aux développeurs d’extensions Chrome directement ou via un e-mail d’assistance associé à leur nom de domaine.
À partir des e-mails vus par BleepingComputer, les domaines suivants ont été utilisés dans cette campagne pour envoyer les e-mails de phishing :
supportchromestore.com pourextensions.com chromeforextension.com
L’e-mail de phishing, qui semble provenir de Google, affirme que l’extension enfreint les politiques du Chrome Web Store et risque d’être supprimée.
“Nous n’autorisons pas les extensions contenant des métadonnées trompeuses, mal formatées, non descriptives, non pertinentes, excessives ou inappropriées, y compris, mais sans s’y limiter, la description de l’extension, le nom du développeur, le titre, l’icône, les captures d’écran et les images promotionnelles”, lit-on dans le phishing. e-mail.
Plus précisément, le développeur de l’extension est amené à croire que la description de son logiciel contient des informations trompeuses et doit accepter les politiques du Chrome Web Store.
L’e-mail de phishing utilisé dans l’attaque
Source : Groupes Google
Si le développeur clique sur le bouton intégré « Aller à la politique » dans le but de comprendre les règles qu’il a violées, il est redirigé vers une page de connexion légitime sur le domaine de Google pour une application OAuth malveillante.
Demande d’authentification malveillante
Source : Cyberhaven
“Lorsque vous autorisez cet accès, l’extension de politique de confidentialité pourra : Voir, modifier, mettre à jour ou publier vos extensions, thèmes, applications et licences du Chrome Web Store auxquels vous avez accès”, lit-on sur la page d’autorisation OAuth.
Invite d’approbation des autorisations
Source : Cyberhaven
“L’employé a suivi le flux standard et a autorisé par inadvertance cette application tierce malveillante”, explique Cyberhaven dans une rédaction post-mortem.
“L’employé avait activé la protection avancée Google et avait MFA couvrant son compte. L’employé n’a pas reçu d’invite MFA. Les informations d’identification Google de l’employé n’ont pas été compromises.”
Une fois que les auteurs de la menace ont accédé au compte du développeur de l’extension, ils ont modifié l’extension pour inclure deux fichiers malveillants, à savoir « worker.js » et « content.js », qui contenaient du code permettant de voler des données sur des comptes Facebook.
L’extension détournée a ensuite été publiée en tant que « nouvelle » version sur le Chrome Web Store.
Pendant que Extension Total suit trente-cinq extensions touchés par cette campagne de phishing, les IOC de l’attaque indiquent qu’un nombre bien plus important a été ciblé.
Selon VirusTotalles acteurs malveillants ont pré-enregistré des domaines pour les extensions ciblées, même s’ils n’ont pas été victimes de l’attaque.
Alors que la plupart des domaines ont été créés en novembre et décembre, BleepingComputer a découvert que les auteurs de la menace testaient cette attaque en mars 2024.
Sous-domaines antérieurs utilisés dans la campagne de phishing
Source : BleepingComputer
Cibler les comptes professionnels Facebook
L’analyse des machines compromises a montré que les attaquants visaient les comptes Facebook des utilisateurs des extensions empoisonnées.
Plus précisément, le code de vol de données tentait de récupérer l’identifiant Facebook, le jeton d’accès, les informations de compte, les informations de compte publicitaire et les comptes professionnels de l’utilisateur.
Données Facebook volées par des extensions détournées
Source : Cyberhaven
Cela visait à contourner les protections 2FA sur le compte Facebook et à permettre aux acteurs malveillants de le détourner.
Les auteurs de la menace ciblent les comptes professionnels Facebook via diverses voies d’attaque pour effectuer des paiements directs du crédit de la victime sur leur compte, mener des campagnes de désinformation ou de phishing sur la plateforme de médias sociaux, ou monétiser leur accès en le vendant à d’autres.
#nouveaux #détails #révèlent #comment #les #pirates #ont #détourné #extensions #Google #Chrome