La campagna di phishing scoperta prima di Natale è più vasta del previsto. Durante l’indagine in corso sono state identificate 36 estensioni per Chrome che ignoti cybercriminali hanno modificato con l’obiettivo di rubare i dati degli utenti. I principali bersagli sono gli account business su Facebook.
Attacco OAuth contro gli sviluppatori
Cyberhaven ha pubblicato una descrizione dettagliata della tecnica utilizzata per ottenere il controllo della sua estensione installata da oltre 400.000 utenti. I ricercatori di Extension Total ha successivamente scoperto sul Chrome Web Store altre estensioni compromesse per un totale di oltre 2,6 milioni di potenziali vittime.
La campagna di hacking è iniziata il 5 dicembre 2024, ma i domini usati per il controllo remoto sono attivi da marzo 2024. L’attacco prevede l’invio di un’email allo sviluppatore dell’estensione. Il mittente sembra Google e nel messaggio viene segnalata la violazione delle regole del Chrome Web Store. Per evitare la rimozione dell’estensione è necessario cliccare su un pulsante e leggere la relativa policy.
Viene invece chiesto il permesso di accesso all’account Google tramite un’app OAuth denominata Privacy Policy Extension. I cybercriminali possono così modificare l’estensione dello sviluppatore, aggiungendo due file JavaScript. Uno di essi contatta il server C&C (command and control), mentre l’altro ruba i dati.
Gli esperti di Extension Total hanno finora individuato 36 estensioni compromesse sul Chrome Web Store. Solo 10, tra cui quella di Cyberhaven, sono state aggiornate eliminando il codice JavaScript, mentre 7 sono state rimosse. Al momento sono ancora presenti 19 estensioni infette.
Quando l’ignara vittima accede a Facebook, le estensioni modificate registrano ID utente, cookie e token di autenticazione. I cybercriminali possono quindi prendere il controllo degli account business.
Ti potrebbe interessare
2 gen 2025