W lutym zespół socket.dev opisał kampanię wykorzystującą złośliwe rozszerzenie przeglądarki Google Chrome, którego celem byli użytkownicy korzystający z Meta Business Manager. Rozszerzenie przechwytywało eksporty danych oraz TOTP seeds wykorzystywane do generowania kodów uwierzytelniania dwuskładnikowego. To nie był prosty przypadek wyłudzenia hasła. Atak uderzał w fundament zabezpieczeń, czyli w mechanizm 2FA.
Sprawa jest poważna, bo dotyczy narzędzia używanego przez firmy do zarządzania reklamą, budżetami marketingowymi i kontami klientów. Jeżeli ktoś przejmie dostęp do takiego środowiska, może nie tylko wykraść dane, ale też przejąć kampanie reklamowe i środki finansowe.
Ten przypadek pokazuje, że zagrożenie nie musi przychodzić w formie podejrzanego pliku czy linku. Może działać w przeglądarce, jako coś, co z pozoru wygląda jak zwykłe rozszerzenie.
Jak działało złośliwe rozszerzenie
Według analizy, rozszerzenie było dystrybuowane jako pozornie przydatne narzędzie dla użytkowników pracujących z Meta Business Manager. Tego typu rozszerzenia często obiecują dodatkowe funkcje, usprawnienia pracy czy integrację z innymi usługami. W praktyce użytkownik instaluje je, nadając szerokie uprawnienia do przeglądania i modyfikowania danych w przeglądarce.
Po instalacji złośliwe rozszerzenie monitorowało aktywność użytkownika w kontekście Meta Business Manager. Szczególnie interesowały je eksporty danych oraz informacje związane z konfiguracją kont.
Kluczowym elementem było przechwytywanie TOTP seeds, czyli sekretnego hasła znanego użytkownikowi i np. Facebookowi wykorzystywanego do generowania jednorazowych kodów 2FA. To oznacza, że atakujący nie musiał prosić o kod SMS ani przechwytywać jednorazowego tokena. Mając nasiono, mógł samodzielnie generować poprawne kody uwierzytelniające.
To zmienia perspektywę. Wiele osób traktuje 2FA jako ostateczną barierę. W tym przypadku ta bariera została osłabiona poprzez przejęcie źródła generowania kodów.
Dlaczego kradzież TOTP jest tak groźna
Dwuskładnikowe uwierzytelnianie oparte na TOTP polega na generowaniu kodów na podstawie wspólnego sekretu, przechowywanego w aplikacji uwierzytelniającej. Jeżeli ktoś uzyska dostęp do tego sekretu, może odtworzyć dokładnie te same kody co właściciel konta.
W opisywanym przypadku rozszerzenie było w stanie przechwycić te dane, co pozwalało na obejście 2FA bez konieczności bezpośredniej interakcji z ofiarą w momencie logowania. To oznacza, że nawet czujny użytkownik, który nikomu nie podaje kodów i nie klika w podejrzane linki, może zostać pozbawiony ochrony, jeśli zainstaluje niezweryfikowane rozszerzenie.
Dla firm korzystających z Meta Business Manager oznacza to ryzyko przejęcia kont reklamowych, zmiany ustawień kampanii, dodawania nowych administratorów czy eksportu danych klientów. Utrata kontroli nad kontem reklamowym to nie tylko kwestia reputacji, ale także bezpośrednich strat finansowych.
Kogo dotyka ten problem
Meta Business Manager jest wykorzystywany przez:
- agencje marketingowe,
- działy marketingu w MŚP,
- freelancerów obsługujących kampanie,
- właścicieli sklepów internetowych.
Jeżeli złośliwe rozszerzenie trafia do przeglądarki osoby zarządzającej budżetem reklamowym, skutki mogą być natychmiastowe. Atakujący może przejąć kontrolę nad kampaniami, zmienić dane rozliczeniowe, a nawet wyeksportować informacje o klientach i strukturze konta.
W przypadku agencji marketingowej konsekwencje mogą być jeszcze szersze. Jedno przejęte konto może oznaczać dostęp do wielu klientów, a więc do wielu budżetów i zestawów danych.
Dla zwykłych użytkowników zagrożenie polega na tym, że mechanizm ataku działa w tle. Rozszerzenie nie musi wyświetlać podejrzanych komunikatów. Może wykonywać swoje zadanie, gdy użytkownik normalnie pracuje.
Dlaczego przeglądarkowe rozszerzenia są tak atrakcyjne dla napastników
Rozszerzenia przeglądarki często wymagają szerokich uprawnień. Użytkownik akceptuje możliwość odczytu i modyfikacji danych na odwiedzanych stronach. To daje ogromne pole działania.
W opisywanym przypadku właśnie ta pozycja w przeglądarce była kluczowa. Rozszerzenie mogło obserwować działania użytkownika w kontekście Meta Business Manager i przechwytywać istotne dane.
Atakujący nie musieli łamać zabezpieczeń serwerów Meta. Wystarczyło przejąć dane po stronie użytkownika, zanim trafiły do właściwego systemu lub tuż po ich wygenerowaniu.
To pokazuje zmianę podejścia. Zamiast atakować centralny system, napastnicy atakują użytkownika i jego narzędzia pracy.
Skutki dla firm i użytkowników
W przypadku firm skutki mogą obejmować:
- utratę dostępu do kont reklamowych,
- nieautoryzowane zmiany kampanii,
- straty finansowe wynikające z manipulacji budżetem,
- wyciek danych eksportowanych z konta.
Dla użytkowników indywidualnych, którzy korzystają z kont biznesowych, oznacza to ryzyko utraty reputacji, zaufania klientów i konieczność prowadzenia czasochłonnej procedury odzyskiwania dostępu.
Najbardziej niepokojące jest to, że nawet poprawnie wdrożone 2FA nie daje pełnej ochrony, jeśli zagrożenie działa na poziomie przeglądarki i przechwytuje sekret TOTP.
Jak ograniczyć ryzyko
Na podstawie opisanego przypadku można wskazać kilka kierunków działania.
Po pierwsze, ograniczenie liczby instalowanych rozszerzeń do absolutnego minimum. Każde dodatkowe rozszerzenie zwiększa powierzchnię ataku.
Po drugie, weryfikacja źródła i reputacji rozszerzenia przed instalacją. Jeżeli narzędzie obiecuje dostęp do wrażliwych funkcji lub wymaga szerokich uprawnień, warto zastanowić się, czy jest rzeczywiście niezbędne.
Po trzecie, rozdzielenie środowisk pracy. Konto wykorzystywane do zarządzania budżetami reklamowymi nie powinno być używane do codziennego przeglądania internetu czy testowania nowych narzędzi.
Po czwarte, monitorowanie zmian w ustawieniach kont biznesowych i reagowanie na nietypowe działania. W przypadku Meta Business Manager warto regularnie sprawdzać listę administratorów i historię zmian.
Podsumowanie
Opisany przypadek pokazuje, że zagrożenie może działać na poziomie przeglądarki, wykorzystując rozszerzenie jako narzędzie do kradzieży eksportów danych oraz seedów TOTP 2FA. To oznacza, że atakujący mogą obejść mechanizm dwuskładnikowego uwierzytelniania, jeżeli uzyskają dostęp do sekretu generującego kody.
Dla firm korzystających z Meta Business Manager to sygnał, że bezpieczeństwo nie kończy się na włączeniu 2FA. Istotne jest także kontrolowanie środowiska przeglądarki i ograniczanie liczby zaufanych dodatków.
Najważniejsze wnioski są proste. Instaluj tylko te rozszerzenia, które są naprawdę potrzebne. Regularnie przeglądaj uprawnienia i konfigurację kont biznesowych. Traktuj przeglądarkę jako element infrastruktury, a nie jedynie narzędzie do przeglądania stron.
| Źródła |
|---|
|
|
