Uma recente campanha de ataque comprometeu 16 extensões do navegador Chrome, expondo mais de 600.000 usuários a possível roubo de dados e comprometimento de credenciais. A campanha teve como alvo os editores por meio de phishing, permitindo que os invasores injetassem códigos maliciosos em extensões legítimas.
Extensões do Chrome hackeadas: mais de 600.000 usuários expostos
A empresa de segurança cibernética Cyberhaven foi a primeira vítima conhecida, com um funcionário caindo em um ataque de phishing em 24 de dezembro. Essa violação permitiu que os invasores publicassem uma versão maliciosa da extensão do Cyberhaven. Em 27 de dezembro, Cyberhaven confirmou que a extensão foi comprometida e código malicioso foi injetado para interagir com um servidor externo de comando e controle (C&C) em cyberhavenext[.]pró.
O e-mail de phishing, disfarçado como uma comunicação do suporte ao desenvolvedor da Google Chrome Web Store, criou uma falsa sensação de urgência, alegando que a extensão do destinatário corria o risco de ser removida devido a violações da política. Clicar no link os levou a um aplicativo OAuth malicioso chamado “Extensão de Política de Privacidade”, que obteve as permissões necessárias para carregar uma versão maliciosa da extensão.
Após a violação do Cyberhaven, os pesquisadores identificaram extensões comprometidas adicionais vinculadas ao mesmo servidor C&C, incluindo AI Assistant – Bate-papoGPT e Gêmeos para ChromeVPNCity e vários outros. John Tuckner, fundador da Secure Attach, disse As notícias dos hackers que a campanha de ataque pode remontar a 5 de abril de 2023.
A investigação de Tuckner conectou o Cyberhaven e ataques relacionados por meio de código malicioso compartilhado na extensão “Modo Leitor”. Algumas extensões comprometidas tinham como alvo contas do Facebook, especificamente dentro de anúncios do Facebook, com o objetivo de exfiltrar cookies e tokens de acesso.
Cyberhaven relatou que a extensão maliciosa foi removida cerca de 24 horas depois de entrar no ar. No entanto, alerta-se que o código malicioso ainda pode recuperar dados dos usuários que instalaram a versão comprometida antes de ela ser removida. As equipes de segurança continuam investigando outras extensões expostas nesta campanha mais ampla.
Vulnerabilidade de autenticação de dois fatores do Google Chrome
À medida que a violação do Cyberhaven se desenrolou, revelou vulnerabilidades significativas, incluindo a possibilidade de hackers contornarem as proteções de autenticação de dois fatores. Cyberhaven confirmou que o ataque teve como alvo específico logins para publicidade em mídias sociais e plataformas de IA.
A violação começou com um ataque de phishing que comprometeu as credenciais do Google de um funcionário, permitindo ao invasor fazer upload de uma extensão maliciosa. Howard Ting, CEO da Cyberhaven, confirmou que sua equipe detectou a extensão maliciosa logo após sua entrada no ar em 25 de dezembro e a removeu em uma hora.
A versão comprometida afetou apenas usuários que atualizaram automaticamente o Chrome durante a janela em que o código malicioso estava ativo. A Cyberhaven tomou medidas rápidas, notificando os clientes e implantando uma versão segura da extensão.
A Cyberhaven aconselhou os usuários afetados a verificar se atualizaram sua extensão, revogar e alternar senhas que não fossem compatíveis com FIDOv2 e revisar os registros em busca de atividades suspeitas. Eles contrataram empresas de segurança externas para realizar análises forenses e estão cooperando com as autoridades policiais como parte de sua resposta à violação.
A Cyberhaven reafirmou seu compromisso com a transparência e melhorias contínuas de segurança à luz do incidente.
Crédito da imagem em destaque: Kerem Gülen/meio da jornada
