(https://i.postimg.cc/T3SNLJ7d/Malware-1.png) (https://postimg.cc/pmfJ3zM4)
Al menos cinco extensiones de Chrome se vieron comprometidas en un ataque coordinado en el que un actor de amenazas inyectó un código que roba información confidencial de los usuarios.
Un ataque fue revelado por Cyberhaven, una empresa de prevención de pérdida de datos que alertó a sus clientes de una violación el 24 de diciembre después de un ataque de phishing exitoso en una cuenta de administrador de la tienda Google Chrome.
Entre los clientes de Cyberhaven se encuentran Snowflake, Motorola, Canon, Reddit, AmeriHealth, Cooley, IVP, Navan, DBS, Upstart y Kirkland & Ellis.
El hacker secuestró la cuenta del empleado y publicó una versión maliciosa (24.10.4) de la extensión Cyberhaven, que incluía un código que podía extraer sesiones autenticadas y cookies al dominio del atacante (cyberhavenext[.]pro).
El equipo de seguridad interna de Cyberhaven eliminó el paquete malicioso una hora después de su detección, según afirma la empresa en un correo electrónico a sus clientes.
El 26 de diciembre se publicó una versión limpia de la extensión, v24.10.5. Además de actualizar a la última versión, se recomienda a los usuarios de la extensión Cyberhaven para Chrome que revoquen las contraseñas que no sean FIDOv2, roten todos los tokens de API y revisen los registros del navegador para evaluar la actividad maliciosa.
Más extensiones de Chrome vulneradas
Tras la revelación de Cyberhaven, el investigador de Nudge Security, Jaime Blasco, llevó la investigación más allá, centrándose en las direcciones IP y los dominios registrados del atacante.
Según Blasco, el fragmento de código malicioso que permitía a la extensión recibir comandos del atacante también se inyectó al mismo tiempo en otras extensiones de Chrome:
Internxt VPN: VPN gratuita, cifrada e ilimitada para una navegación segura (10 000 usuarios)
VPNCity: VPN centrada en la privacidad con cifrado AES de 256 bits y cobertura global de servidores (50 000 usuarios)
Uvoice: servicio basado en recompensas para ganar puntos a través de encuestas y proporcionar datos de uso del PC (40 000 usuarios)
ParrotTalks: herramienta de búsqueda de información especializada en texto y toma de notas sin problemas (40 000 usuarios)
Blasco encontró más dominios que apuntan a otras víctimas potenciales, pero solo se confirmó que las extensiones anteriores contenían el fragmento de código malicioso.
Se recomienda a los usuarios de estas extensiones que las eliminen del navegador o que actualicen a una versión segura publicada después del 26 de diciembre después de asegurarse de que el editor haya tenido conocimiento del problema de seguridad y lo haya solucionado.
Si no está seguro, sería mejor desinstalar la extensión, restablecer las contraseñas importantes de la cuenta, borrar los datos del navegador y restablecer la configuración del navegador a sus valores predeterminados originales.
Fuente:
BleeepingComputer
https://www.bleepingcomputer.com/news/security/cybersecurity-firms-chrome-extension-hijacked-to-steal-users-data/