Kártékony Chrome bővítmények
A Socket Threat Research által feltárt adversary-in-the-browser kampány egy nagyméretű, koordinált böngésző-szintű támadási műveletet, amely 108 rosszindulatú Chrome bővítményre épül. A bővítmények látszólag legitim funkcionalitást kínálnak, azonban egységes irányítás alatt állnak, és ugyanahhoz a C2 kommunikálnak.
A kampány egyik kulcseleme a centralizált infrastruktúra, minden bővítmény ugyanarra a backendre továbbítja az adatokat, ami egyetlen operátor vagy jól szervezett csoport jelenlétére utal. A fertőzött környezetekből gyűjtött adatok közé tartoznak a felhasználói identitások, hitelesítési adatok és böngészési minták, amelyeket strukturált formában exfiltrálnak. A becsült telepítésszám ~20 000, ami már jelentős adatgyűjtési kapacitást biztosít.
Az egyik legkritikusabb komponens a session hijacking, ahol a bővítmények aktív munkameneteket lopnak el, lehetővé téve a jelszó és MFA megkerülését. Egyes modulok folyamatosan gyűjtik a Telegram session adatokat, így valós idejű hozzáférést biztosítanak a támadónak.
