Cel puțin cinci extensii Chrome au fost compromise într-un atac coordonat în care un actor de amenințare a injectat cod care fură informații sensibile de la utilizatori.
Un atac a fost dezvăluit de Cyberhaven, o companie de prevenire a pierderii de date care și-a alertat clienții cu privire la o încălcare la 24 decembrie, după un atac de phishing reușit asupra unui cont de administrator pentru magazinul Google Chrome.
Printre clienții Cyberhaven se numără Snowflake, Motorola, Canon, Reddit, AmeriHealth, Cooley, IVP, Navan, DBS, Upstart și Kirkland & Ellis.
Hacker-ul a preluat contul angajatului și a publicat o versiune malitioasă (24.10.4) a extensiei Cyberhaven, care includea cod ce putea exfiltrate sesiuni autentificate și cookie-uri către domeniul atacatorului (cyberhavenext[.]pro).
Echipa internă de securitate Cyberhaven a eliminat pachetul malitios într-o oră de la detectare, compania menționând într-un email către clienți.
O versiune curată a extensiei, v24.10.5, a fost publicată la 26 decembrie. Pe lângă actualizarea la cea mai recentă versiune, utilizatorii extensiei Chrome Cyberhaven sunt recomandați să revoke parolele care nu sunt FIDOv2, să roteze toate token-urile API și să revizuiască jurnalele browserului pentru a evalua activitatea malitioasă.
În urma divulgării Cyberhaven, cercetătorul de securitate Nudge Security, Jaime Blasco, a dus investigația mai departe, pivotând de la adresele IP ale atacatorului și domeniile înregistrate.
Potrivit lui Blasco, fragmentul de cod malitios care permitea extensiei să primească comenzi de la atacator a fost injectat în același timp în alte extensii Chrome:
Blasco a găsit mai multe domenii care duc la alte potențiale victime, dar doar extensiile de mai sus au fost confirmate că conțin fragmentul de cod malitios.
Utilizatorii acestor extensii sunt recomandați să le elimine din browser sau să le actualizeze la o versiune sigură publicată după 26 decembrie, după ce se asigură că editorul a fost informat despre problema de securitate și a rezolvat-o.
Dacă nu sunt siguri, ar fi mai bine să dezinstaleze extensia, să-și reseteze parolele conturilor importante, să șteargă datele browserului și să-și reseteze setările browserului la valorile implicite.
Anunțuri false Bitwarden pe Facebook promovează extensii Chrome care fură informații
Noua extensie Chrome ChatGPT Search de la OpenAI pare a fi un răpitor de căutare
LastPass avertizează cu privire la centre de suport false care încearcă să fure datele clienților
Peste o mie de magazine online au fost sparte pentru a afișa listări false de produse
Noul serviciu de phishing Microsoft FlowerStorm umple golul lăsat de Rockstar2FA
Leave a Reply