Este ataque à extensão do navegador Google Chrome comprometeu os cookies de autenticação.
Atualização, 30 de dezembro de 2024: Esta história, publicada originalmente em 29 de dezembro, agora inclui uma explicação de como funciona o comprometimento de cookies de sessão de desvio 2FA, juntamente com conselhos de especialistas em segurança sobre como mitigar o ataque de extensão maliciosa do Chrome.
Os hackers não tiram férias, como foi comprovado por uma série de comprometimentos das extensões do navegador Google Chrome que datam de meados de dezembro e continuam durante as férias sazonais. Aqui está tudo o que você precisa saber sobre os ataques contínuos de desvio de autenticação de dois fatores do Google Chrome.
Os mais recentes ataques de extensão do navegador Google Chrome explicados
Conforme relatado em 27 de dezembro pela Reuters, “hackers comprometeram extensões do navegador Chrome de várias empresas diferentes em uma série de invasões.” Que os atores da ameaça são usar extensões do Chrome como metodologia de ataque não é novidademas a extensão desta última campanha parece mostrar o quão determinados os hackers estão em roubar cookies de sessão e contornar suas proteções de autenticação de dois fatores.
Embora seja apenas uma parte do que parece ser uma campanha coordenada e de amplo alcance para atingir múltiplas empresas e suas extensões do Chrome, o número total de usuários em risco está provavelmente na casa dos milhões; vale a pena analisar o ataque contra a empresa de segurança Cyberhaven, pois explica os perigos potenciais de tais ataques, apenas com cerca de 400.000 clientes corporativos, e fornece uma visão sobre a rapidez com que responder a eles é fundamental.
“Nossa equipe confirmou um ataque cibernético malicioso que ocorreu na véspera de Natal, afetando a extensão do Chrome da Cyberhaven”, disse Howard Ting, CEO da empresa de detecção de ataques de dados e resposta a incidentes, em uma postagem de alerta de segurança: “Queremos compartilhar todos os detalhes de o incidente e as medidas que estamos tomando para proteger nossos clientes e mitigar quaisquer danos.”
O ataque à extensão Cyberhaven do Chrome
O ataque contra clientes da Cyberhaven começou em 24 de dezembro, quando uma ameaça de phishing conseguiu comprometer um funcionário. É importante ressaltar que isso incluiu um comprometimento de credenciais que permitiu ao invasor obter acesso à Google Chrome Web Store. “O invasor usou essas credenciais para publicar uma versão maliciosa de nossa extensão do Chrome”, confirmou Ting. A extensão maliciosa só foi descoberta no final de 25 de dezembro, após o que foi removida em 60 minutos.
UM investigação preliminar no ataque revelou que o vetor de acesso inicial foi por meio de um e-mail de phishing enviado ao e-mail de suporte registrado para a extensão do Chrome da Cyberhaven, visando os desenvolvedores. A Cyberhaven disponibilizou este e-mail para alertar outras pessoas sobre como seria esse ataque inicial.
O e-mail de phishing que iniciou o ataque à extensão Cyberg=haven
Quando a vítima clicou no link, ela se viu dentro do fluxo de autorização do Google para “adicionar um aplicativo OAUTH malicioso do Google chamado Extensão de Política de Privacidade”, disse Cyberhaven. Este foi hospedado em Google.com e faz parte do processo padrão para conceder acesso a aplicativos de terceiros do Google que, neste caso, autorizaram inadvertidamente um aplicativo malicioso. “O funcionário tinha a Proteção Avançada do Google ativada e MFA cobrindo sua conta”, disse Cyberhaven. Nenhuma solicitação de autenticação multifator foi recebida e as credenciais do Google do funcionário não foram comprometidas no ataque. Uma extensão maliciosa (24.10.4) baseada em uma versão anterior limpa da extensão oficial Cyberhaven Chrome foi então carregada na Chrome Store.
Ataque de extensão do Chrome – um desvio 2FA explicado
Embora a autenticação de dois fatores continue sendo uma camada vital nas proteções de segurança de verificação de credenciais, isso não significa que ela seja invulnerável a ataques. As pessoas muitas vezes assumem incorretamente que apenas mensagens como 2FA por meio de mensagens de texto SMS estão abertas à interceptação e que usar um aplicativo de autenticação gerador de código é a solução mágica. Embora os aplicativos sejam um método muito mais forte de uso de 2FA para a maioria das pessoas e os códigos SMS ainda sejam melhores do que nenhuma proteção 2FA, os invasores ainda podem contornar essa camada de autenticação. Na verdade, eles não o ignoram precisamente, mas o clonam. Um invasor irá, por qualquer método, redirecionar a vítima para uma página de login de aparência genuína, onde as credenciais são inseridas. Quando se trata da parte de entrada do código 2FA, usando uma técnica de atacante intermediário, o cookie de sessão criado quando um código correto é inserido é capturado e armazenado para uso posterior. Este cookie faz o que diz na lata, sinalizando a sessão do usuário como devidamente autorizada. É claro que, se um invasor tiver uma cópia desse cookie, ele poderá executar novamente a sessão quando quiser e ainda assim ser visto como o usuário autenticado.
Ataque de desvio de extensão 2FA do Chrome – impacto e escopo
De acordo com Ting, o impacto e o escopo dos ataques da extensão Cyberhaven Chrome são os seguintes:
A única versão da extensão do Chrome afetada foi a 24.10.4, com o código malicioso ativo apenas entre o dia de Natal e o Boxing Day. Somente os clientes que usam navegadores baseados no Chrome atualizados automaticamente durante o período do ataque teriam sido afetados.
Para os navegadores que executavam a extensão comprometida, no entanto, a Cyberhaven confirmou que “poderia ter exfiltrado cookies e sessões autenticadas para determinados sites direcionados”. A investigação inicial sugere que os logins visados eram publicidade em redes sociais e plataformas de IA.
“Nossa investigação confirmou que nenhum outro sistema Cyberhaven, incluindo nossos processos CI/CD e chaves de assinatura de código, foram comprometidos”, disse Ting.
Como mitigar ataques de desvio 2FA – e responder ao incidente da extensão Cyberhaven Chrome
Com o Departamento Federal de Investigação alertando as pessoas em 30 de outubro sobre o roubo de cookies de sessão por cibercriminosos para contornar as proteções de conta 2FA, o tempo para estar ciente e mitigar o risco desses ataques já deveria ter sido feito. Existem “inúmeras proteções para combater tais ataques, incluindo chaves de acesso, que reduzem substancialmente o impacto de phishing e outros ataques de engenharia social”, disse um porta-voz do Google, “a pesquisa do Google mostrou que as chaves de segurança fornecem uma proteção mais forte contra bots automatizados, phishing em massa ataques e ataques direcionados além de SMS, senhas de uso único baseadas em aplicativos e outras formas de autenticação tradicional de dois fatores.
Um dos problemas é que os funcionários muitas vezes clicam nas telas de login único e autorização, potencialmente concedendo permissões a aplicativos desconhecidos de terceiros, Vivek Ramachandran, fundador da SquareX, disse. “No lado do servidor, isso poderia ser evitado proibindo aplicativos que solicitem escopos OAuth arriscados, a menos que sejam autorizados. Embora a criação de uma lista de permissões nem sempre seja prática e possa reduzir a produtividade, uma ferramenta de resposta de detecção de navegador do lado do cliente pode intervir.”
Quando se trata deste ataque específico, os clientes afetados foram notificados pela Cyberhaven, juntamente com aqueles que não foram impactados pela causa da total transparência. A extensão maliciosa do Chrome foi removida da Chrome Web Store e uma versão segura, 24.10.5, foi implantada automaticamente. “Para clientes que executam a versão 24.10.4 de nossa extensão do Chrome durante o período afetado”, disse Ting, “recomendamos fortemente verificar se sua extensão foi atualizada para a versão 24.10.5 ou mais recente”. Entrei em contato com o Google para obter uma declaração.
