Eine Supply-Chain-Attacke im Chrome Web Store hat im Dezember um die dreißig Browser-Erweiterungen getroffen und die persönlichen Daten von 2,6 Millionen Nutzerinnen und Nutzern gefährdet. Die Sicherheitsfirma Sekoia hat nun weitere Details, insbesondere über die hinter dem Angriff liegende Infrastruktur, veröffentlicht.
Anzeige
Bereits Anfang Januar hat das Security-Unternehmen Annex eine erste Analyse des Angriffs und eine Liste der betroffenen Extension veröffentlicht. Der Angriff beginnt mit gezielten Phishing-Mails an Extension-Entwickler. Die Mails kommen vermeintlich von Googles Web-Store-Team, und die Angreifer drohen damit, dass die Extension aus dem Store entfernt wird, wenn die Entwickler nicht die Program Policy akzeptieren. Ein Button führt zu einer bösartigen Anwendung, die sich über OAuth in das Google-Konto der Opfer einloggt. Sobald die Täter Zugriff auf den Quellcode der Extension haben, fügen sie schädliche Abschnitte hinzu, die darauf abzielen, persönliche Browser-Daten der Opfer abzugreifen: Social-Media-Logins (Facebook), API-Schlüssel (ChatGPT), Session-Cookies und weiteres.
Sobald eine Anwenderin oder ein Anwender die betreffende Extension startet, führt diese standardmäßig ein Update durch, das den bösartigen Code enthält.
Sekoia hat insgesamt ein Dutzend verseuchter Beispiele untersucht, die vom 12. Dezember 2024 (VPNCity) bis zum 30. Dezember 2024 (Proxy SwtichyOmega V3) online waren. Die Liste von Annex geht sogar bis Juli 2024 (HiAI) zurück, die Analysten vermuten jedoch eine Aktivität der Kampagne sogar seit 2023. Die Täter scheinen diese Ende Dezember gestoppt zu haben, auffallend war insbesondere der Aufwand und die Breite der gezielten Angriffe. Es gab sogar extra Werbeseiten für die gekaperten Extensions, um möglichst viele Nutzerinnen und Nutzer anzugehen.
Die gezielt verschickten Phishing-Mails (Spear Phishing) beinhalten im Betreff jeweils die konkreten Namen der Erweiterungen. Die Absenderadressen klingen offiziell:
Der Button "Go to Policy" führt auf die bösartige Redirect-Seite.
(Bild: Sekoia)
Auf einer echten Google-Seite sollen die Opfer dann der "Privacy Policy Extension" OAuth-Zugriff auf den Google-Account geben, insbesondere die Berechtigung "see, edit, update, or publish" für die Extension einräumen. Ab dann können die Angreifer frei im Store agieren und Code ändern.
Die Täter passen dort das Skript backgroud.js an und fügen ein weiteres hinzu: context_responder.js. Das Background-Skript dient allgemein in Chrome-Erweiterungen als zentraler Event-Handler für die gesamte Extension. Im bösartig geänderten Kontext implementiert es Handler für den Kontakt zum Command-and-Control-Server (C2) und zu den Servern, bei denen Zugangsdaten abgegriffen werden sollen, wie ChatGPT. Hierfür sieht die entsprechende JSON-Konfiguration wie folgt aus:
{ "code": 2000, "graphqlnetworka": "https://chatgpt.com/api/*", "graphqlnetworkb": "https://chatgpt.com/public-api/conversation_limit", "graphqlnetworkc": "http://chatgpt.com", "graphqlnetworkd": "sk-<OpenAI API Key>", "graphqlnetworke": "backend-api/me", "graphqlnetworkf": "https://chatgpt.com", "graphqlnetworkg": "https://chatgpt.com/backend-api/compliance", "graphqlnetworkh": "https://chatgpt.com/api/auth/session", "graphqlnetworki": "auth", "graphqlnetworkk": "https://chatgpt.com" }Die Analysten gehen davon aus, dass diese Konfiguration dazu dient, den OpenAI-Schlüssel und die Login-Daten zu stehlen.
Das Context-Responder-Skript prüft bei allen aufgerufenen URLs, ob sie in einer Konfigurationsdatei (graphqlnetwork_ext_manage) im lokalen Speicher von Chrome aufgeführt sind. Ist das der Fall, interagiert es mit dem Background-Skript, um Daten zu extrahieren. Über den Handler für das C2-Netz können die Skripte vermutlich weitere Konfigurationen der Angreifer nachladen.
Für jede angegriffene Erweiterung registrieren die Angreifer eine Domain, für GraphQL Network Inspector beispielsweise graphqlnetwork.pro. Die Domains haben folgende Eigenschaften:
Registrar: NamecheapTop-level domains: co, com, info, ink, io, live, net, pro, siteHosting provider: AS 20473 (Vultr)JARM fingerprint: 1dd40d40d00040d00042d43d000000e1ea2a807a629b496b664cf07ad7c08dDNS A-Record: TTL: 1799Alle Domains zeigen auf die IP-Adressen 149.28.124.84 oder 45.76.225.148. Der Redirect aus der Phishing-Mail geht über app.checkpolicy.site (136.244.115.219). Als weitere aktive Dienste auf den Servern stellten die Analysten fest:
SSH an Port 22HTTP an Port 80 mit der Standard-404-Antwort von NginxHTTPS an Port 443 mit JARM-Fingerprint 1dd40d40d00040d00042d43d000000e1ea2a807a629b496b664cf07ad7c08dREDIS an Port 6379Sekoia identifizierte dreißig Domains, die diesen Kriterien entsprachen. Die gestohlenen Daten senden die Extensions jeweils an eine Subdomäne app. (zum Beispiel app.graphqlnetwork.pro) unter 149.248.2.160. Hier lauscht noch ein MySQL-Dienst an Port 3306, vermutlich um die gestohlenen Daten in einer Datenbank systematisch zu sammeln.
Der Angriff beginnt mit einer Phishing-Mail und endet mit dem Senden der gestohlenen Daten an die C2-Server.
(Bild: Sekoia)
Chrome-Anwenderinnen und Anwendern wird empfohlen, ein Update aller Extensions durchzuführen. Alle bekannt gewordenen Erweiterungen, die von der Kampagne betroffen sind, finden sich in den Listen von Annex und Sekoia. Wer sicherheitshalber unbekannte beschädigte Erweiterungen aufspüren möchte, finden sie durch die Suche nach der Konfigurationsdatei im lokalen Speicher des Browsers nach *_ext_manage oder durch Prüfen, ob Kommunikation mit den C2-Servern versucht wird (149.28.124.84 und 45.76.225.148).
Betroffene sollten zügig Cookies löschen und Passwörter sowie Keys ändern.
(
Kommentare