Uma nova campanha de ataque teve como alvo extensões conhecidas do navegador Chrome, levando ao comprometimento de pelo menos 16 extensões e expondo mais de 600.000 usuários à exposição de dados e roubo de credenciais.
O ataque teve como alvo editores de extensões de navegador na Chrome Web Store por meio de uma campanha de phishing e usou suas permissões de acesso para inserir código malicioso em extensões legítimas, a fim de roubar cookies e tokens de acesso do usuário.
A primeira empresa conhecida por ter sido exposta foi a empresa de segurança cibernética Cyberhaven.
Em 27 de dezembro, Cyberhaven divulgado que um agente de ameaça comprometeu a extensão do navegador e injetou código malicioso para se comunicar com um servidor externo de Comando e Controle (C&C) localizado no domínio cyberhavenext(.)pro, baixar arquivos de configuração adicionais e exfiltrar dados do usuário.
“As extensões de navegador são o ponto fraco da segurança na web”, diz Or Eshed, CEO da Segurança CamadaXespecializada em segurança de extensões de navegador. “Embora tenhamos a tendência de pensar nas extensões do navegador como inofensivas, na prática, elas frequentemente recebem permissões extensas para informações confidenciais do usuário, como cookies, tokens de acesso, informações de identidade e muito mais.
“Muitas organizações nem sabem quais extensões instalaram em seus endpoints e não estão cientes da extensão de sua exposição”, diz Eshed.
Assim que a notícia da violação do Cyberhaven foi divulgada, extensões adicionais que também foram comprometidas e se comunicavam com o mesmo servidor C&C foram rapidamente identificadas.
Jamie Blasco, CTO da empresa de segurança SaaS Nudge Security, identificou domínios adicionais resolvendo para o mesmo endereço IP do servidor C&C usado para a violação do Cyberhaven.
Extensões adicionais de navegador atualmente suspeitas de terem sido comprometidas incluem:
- Assistente de IA – ChatGPT e Gemini para Chrome
- Extensão de bate-papo Bard AI
- Resumo GPT 4 com OpenAI
- Pesquisar Copilot AI Assistant para Chrome
- Assistente de IA TinaMInd
- Caminho da IA
- Cidade VPN
- VPN Internxt
- Gravador de vídeo Vindoz Flex
- Baixador de vídeo VidHelper
- Trocador de favoritos de favoritos
- Castorus
- Voz
- Modo Leitor
- Papagaio fala
- Primo
Essas extensões adicionais comprometidas indicam que o Cyberhaven não foi um alvo único, mas parte de uma campanha de ataque em larga escala visando extensões de navegadores legítimos.
A análise do Cyberhaven comprometido indica que o código malicioso tinha como alvo dados de identidade e tokens de acesso de contas do Facebook e, especificamente, de contas comerciais do Facebook:
 |
| Dados do usuário coletados pela extensão de navegador Cyberhaven comprometida (fonte: Cyberhaven) |
Cyberhaven afirma que a versão maliciosa da extensão do navegador foi removida cerca de 24 horas depois de ser lançada. Algumas das outras extensões expostas também já foram atualizadas ou removidas da Chrome Web Store.
No entanto, o fato de a extensão ter sido removida da loja do Chrome não significa que a exposição acabou, diz Or Eshed. “Enquanto a versão comprometida da extensão ainda estiver ativa no endpoint, os hackers ainda poderão acessá-la e extrair dados”, diz ele.
Os pesquisadores de segurança continuam procurando por extensões expostas adicionais, mas a sofisticação e o escopo dessa campanha de ataque aumentaram a aposta de muitas organizações na proteção de suas extensões de navegador.
