Extensia de securitate Chrome piratată pentru a fura datele utilizatorilor

Cel puțin cinci extensii Chrome au fost compromise într-un atac coordonat, în care un actor de amenințare a injectat cu succes cod care a furat informații sensibile de la utilizatori.

Acestea sunt informațiile oferite de experții în securitate cibernetică de la Cyberhaven. Compania de securitate a datelor din SUA și-a avertizat clienții cu privire la o încălcare care a avut loc pe 24 decembrie, în urma unei campanii de phishing de succes care vizează contul de administrator al companiei pe Google Chrome Store.

Printre clienții Cyberhaven sunt proeminente mărci populare precum Snowflake, Motorola, Canon, Reddit, AmeriHealth, Cooley, IVP, Navan, DBS, Upstart și Kirkland & Ellis.

Hackerii au preluat conturile angajaților și au lansat o versiune rău intenționată (24.10.4) a extensiei Cyberhaven, care includea cod care putea fura sesiuni autentificate și cookie-uri în domeniul atacatorului (cyberhavenext[.]pro).

Echipa de securitate internă a Cyberhaven a eliminat pachetul de malware într-o oră de la detectare, a spus compania într-un e-mail către clienți.

Versiunea curată a extensiei este v24.10.5, care a fost lansată pe 26 decembrie. Pe lângă actualizarea la cea mai recentă versiune, utilizatorii extensiei Cyberhaven Chrome sunt sfătuiți să revoce parolele non-FIDOv2, să schimbe toate indicativele API și să examineze jurnalele browserului pentru a evalua activitatea rău intenționată.

Multe extensii Chrome au fost piratate

În urma dezvăluirii Cyberhaven, cercetătorul Nudge Security, Jaime Blasco, a efectuat o investigație mai profundă, redirecționând de la adresa IP și numele de domeniu înregistrat al atacatorului.

Potrivit lui Blasco, codul rău intenționat care a permis extensiei să primească comenzi de la atacator a fost injectat și în alte extensii Chrome în același timp:

• Internxt VPN – VPN gratuit, criptat, nelimitat pentru navigare web sigură. (10.000 de utilizatori)
• VPNCity – VPN axat pe confidențialitate cu criptare AES pe 256 de biți și acoperire globală a serverului. (50.000 de utilizatori)
• Uvoice – Serviciu bazat pe recompense pentru câștigarea de puncte prin sondaje și furnizarea de date de utilizare a computerului. (40.000 de utilizatori)
• ParrotTalks – Motor de căutare de informații specializat în text fără întreruperi și luare de note. (40.000 de utilizatori)
• Blasco a găsit mai multe domenii care indică mai multe alte victime potențiale, dar până acum s-a confirmat că numai extensiile de mai sus conțin cod rău intenționat.

Utilizatorii acestor extensii sunt sfătuiți să le elimine imediat din browsere sau să facă upgrade la o versiune securizată lansată după 26 decembrie, după ce se asigură că editorul este la curent cu problema de securitate și a remediat-o.

Dacă nu sunteți sigur, cel mai bine este să dezinstalați extensia, să resetați parolele importante ale contului, să ștergeți datele browserului și să resetați setările browserului la valorile implicite din fabrică.