Začiatok roka priniesol nemilé zistenie, že minimálne 33 rozšírení pre prehliadač Chrome, ktoré boli dostupné priamo v oficiálnom Chrome Web Store, tajne kradlo citlivé údaje miliónom používateľov. Tieto škodlivé kampane zasiahli približne 2,6 milióna zariadení po celom svete.

Zistenie, že rozšírenia dlhodobo a nepozorovane odosielali údaje tretím stranám, opäť zvýraznilo, akou slabou stránkou v reťazci kybernetickej bezpečnosti môžu byť prehliadače a ich doplnky. Na tému upozornil portál ArsTechnica.

Ako k tomu došlo?

Všetko sa začalo, keď spoločnosť Cyberhaven, ktorá poskytuje služby na ochranu dát, odhalila, že ich vlastné rozšírenie bolo kompromitované. Presnejšie bolo kompromitované rozšírenie Cyberhaven Security Extension V3 vo verzii 24.10.4, ktorá bola dostupná iba 31 hodín – od 25. decembra do 26. decembra 2024. Počas tohto krátkeho časového okna si však stiahli infikovanú aktualizáciu státisíce používateľov, ktorí si ani neuvedomili, že ich údaje sú vystavené riziku.

Bing Image Creator/Freepik

Zmieňovaná verzia obsahovala škodlivý kód, ktorý kradol údaje, ako sú súbory cookie a prihlasovacie údaje na populárne stránky, vrátane Facebooku a ChatGPT. Útočníci dosiahli tento útok prostredníctvom dôkladne naplánovaného spear phishingu.

Útočníci využili phishingový e-mail, ktorý vývojárom dorazil na Štedrý večer. Tvrdil, že rozšírenie porušuje pravidlá Google a bude odstránené z Chrome Web Store, ak vývojári nepodniknú okamžité kroky. Súčasťou e-mailu bol odkaz, ktorý viedol na obrazovku žiadosti o povolenie pre aplikáciu s názvom „Privacy Policy Extension“. Nevedomky vývojári schválili túto požiadavku, čím útočníkom umožnili nahrávať nové verzie rozšírenia priamo do oficiálneho obchodu Chrome. Útočníci tak mohli vytvoriť infikovanú verziu rozšírenia a distribuovať ju medzi používateľov.

Cyberhaven však nebol jediným cieľom. Výskumníci z bezpečnostnej firmy Secure Annex odhalili, že rovnakým spôsobom bolo kompromitovaných ďalších 19 rozšírení, vrátane nástrojov ako Internxt VPN, Parrot Talks či Wayin AI. Tieto rozšírenia stiahlo dohromady 1,46 milióna používateľov. Podľa zistení útoky prebiehali už od mája 2024 a útočníci vytvárali falošné domény, ktoré pripomínali oficiálne stránky, aby mohli šíriť škodlivé kódy.

Nižšie sú uvedené zoznamy infikovaných rozšírení, ktoré zahŕňajú škodlivé verzie a obdobia, počas ktorých boli aktívne. Tieto rozšírenia by si mal okamžite odstrániť, ak ich náhodou máš nainštalované.

Navyše, ďalšia analýza odhalila, že rozšírenie Reader Mode bolo infikované už v apríli 2023, pričom zdrojom problému bol externý knižničný kód používaný vývojármi na monetizáciu rozšírenia. Tento kód zbieral údaje o webových návštevách používateľov, pričom vývojári získavali províziu.

Ak si používal niektoré z kompromitovaných rozšírení, mal by si okamžite podniknúť nasledujúce kroky. V prvom rade je potrebné odstrániť infikované rozšírenia – skontroluj zoznam infikovaných rozšírení a odstráň ich zo svojho prehliadača.

Ďalej zmeň svoje heslá, najmä na stránkach, kde si mal uložené prihlasovacie údaje, ako sú Facebook alebo Gmail. Nezabudni ani na kontrolu svojich zariadení, aby si sa uistil, že na tvojom počítači nie sú nainštalované ďalšie podozrivé programy. Na záver zváž použitie správcu hesiel, ktorý ti pomôže zabezpečiť tvoje účty silnými a jedinečnými heslami. Aj keď ako vieme, aj tie mali v minulosti svoje problémy.