De nouveaux détails sont apparus sur une campagne de phishing ciblant les développeurs d’extensions de navigateur Chrome qui a conduit à la compromission d’au moins trente-cinq extensions pour injecter du code de vol de données, y compris celles de la société de cybersécurité Cyberhaven.
Bien que les rapports initiaux se soient concentrés sur l’extension axée sur la sécurité de Cyberhaven, des enquêtes ultérieures ont révélé que le même code avait été injecté dans au moins 35 extensions utilisées collectivement par environ 2 600 000 personnes.
À partir de rapports sur LinkedIn et Google Groups de développeurs ciblés, la dernière campagne a débuté vers le 5 décembre 2024. Cependant, des sous-domaines de commande et de contrôle antérieurs trouvés par Breachtrace existaient dès mars 2024.
« Je voulais juste alerter les gens sur un e-mail de phishing plus sophistiqué que d’habitude que nous avons reçu qui indiquait une violation de la politique de l’extension Chrome du formulaire: » Détails inutiles dans la description » », lit-on dans le message adressé au groupe de l’extension Chromium du groupe Google.
« Le lien dans cet e-mail ressemble à la boutique en ligne, mais il renvoie vers un site Web de phishing qui essaiera de prendre le contrôle de votre extension Chrome et la mettra probablement à jour avec des logiciels malveillants. »
Une chaîne d’attaque OAuth trompeuse
L’attaque commence par un e-mail de phishing envoyé aux développeurs d’extensions Chrome directement ou via un e-mail d’assistance associé à leur nom de domaine.
À partir des e-mails consultés par Breachtrace , les domaines suivants ont été utilisés dans cette campagne pour envoyer les e-mails de phishing:
supportchromestore.com
forextensions.com
chromeforextension.comL’e-mail de phishing, qui semble provenir de Google, affirme que l’extension enfreint les règles du Chrome Web Store et risque d’être supprimée.
« Nous n’autorisons pas les extensions avec des métadonnées trompeuses, mal formatées, non descriptives, non pertinentes, excessives ou inappropriées, y compris, mais sans s’y limiter, la description de l’extension, le nom du développeur, le titre, l’icône, les captures d’écran et les images promotionnelles », lit-on dans l’e-mail de phishing.
Plus précisément, le développeur de l’extension est amené à croire que la description de son logiciel contient des informations trompeuses et doit accepter les règles du Chrome Web Store.
Si le développeur clique sur le bouton intégré « Accéder à la stratégie » dans le but de comprendre quelles règles il a violées, il est redirigé vers une page de connexion légitime sur le domaine de Google pour une application OAuth malveillante.
La page fait partie du flux d’autorisation standard de Google, conçu pour accorder en toute sécurité des autorisations à des applications tierces pour accéder à des ressources de compte Google spécifiques.
Sur cette plate-forme, l’attaquant a hébergé une application OAuth malveillante nommée « Extension de politique de confidentialité » qui demandait à la victime d’accorder l’autorisation de gérer les extensions du Chrome Web Store via son compte.
« Lorsque vous autorisez cet accès, l’extension de politique de confidentialité pourra: Voir, modifier, mettre à jour ou publier vos extensions, thèmes, applications et licences Chrome Web Store auxquels vous avez accès », lit la page d’autorisation OAuth.
L’authentification multifacteur n’a pas aidé à protéger le compte car les approbations directes dans les flux d’autorisation OAuth ne sont pas requises et le processus suppose que l’utilisateur comprend parfaitement l’étendue des autorisations qu’il accorde.
« L’employé a suivi le flux standard et a autorisé par inadvertance cette application tierce malveillante », explique Cyberhaven dans un article post-mortem.
« L’employé avait activé la protection avancée de Google et l’AMF couvrait son compte. L’employé n’a pas reçu d’invite MFA. Les informations d’identification Google de l’employé n’ont pas été compromises. »
Une fois que les auteurs de la menace ont eu accès au compte du développeur de l’extension, ils ont modifié l’extension pour inclure deux fichiers malveillants, à savoir « worker ».js ‘ et ‘ contenu.js, » qui contenait du code pour voler des données sur les comptes Facebook.
L’extension détournée a ensuite été publiée en tant que « nouvelle » version sur le Chrome Web Store.
Alors que l’extension Total suit trente-cinq extensions touchées par cette campagne de phishing, les IOC de l’attaque indiquent qu’un nombre beaucoup plus important ont été ciblés.
Selon VirusTotal, les auteurs de la menace ont préenregistré des domaines pour des extensions ciblées, même s’ils ne sont pas tombés dans le piège de l’attaque.
Alors que la plupart des domaines ont été créés en novembre et décembre, Breachtrace a constaté que les auteurs de la menace testaient cette attaque en mars 2024.
Cibler les comptes professionnels Facebook
L’analyse des machines compromises a montré que les attaquants étaient après les comptes Facebook des utilisateurs des extensions empoisonnées.
Plus précisément, le code de vol de données tentait de récupérer l’identifiant Facebook, le jeton d’accès, les informations de compte, les informations de compte publicitaire et les comptes professionnels de l’utilisateur.
De plus, le code malveillant a ajouté un écouteur d’événement de clic de souris spécifiquement pour les interactions de la victime sur Facebook.com, à la recherche d’images de code QR liées aux mécanismes d’authentification à deux facteurs ou CAPTCHA de la plateforme.
Cela visait à contourner les protections 2FA sur le compte Facebook et à permettre aux acteurs de la menace de le détourner.
Facebook, la chaîne de l’agent utilisateur, l’identifiant Facebook et les événements de clic de souris seraient regroupés avec les informations volées et exfiltrés vers le serveur de commande et de contrôle (C2) de l’attaquant.
Les auteurs de menaces ciblent les comptes professionnels Facebook via diverses voies d’attaque pour effectuer des paiements directs du crédit de la victime sur son compte, lancer des campagnes de désinformation ou de phishing sur la plate-forme de médias sociaux, ou monétiser leur accès en le vendant à d’autres.