Os hackers conseguiram modificar várias extensões do Chrome com código malicioso este mês, após obter acesso a contas de administrador por meio de uma campanha de phishing. A empresa de segurança cibernética Cyberhaven compartilhou em um neste fim de semana que sua extensão do Chrome foi comprometida em 24 de dezembro em um ataque que parecia estar “direcionando logins para publicidade em mídia social específica e plataformas de IA”. Algumas outras extensões também foram atingidas, desde meados de dezembro, relatado. De acordo com a Nudge Security que inclui ParrotTalks, Uvoice e VPNCity.
A Cyberhaven notificou seus clientes em 26 de dezembro em um e-mail visto por que os aconselhou a revogar e alternar suas senhas e outras credenciais. A investigação inicial da empresa sobre o incidente descobriu que a extensão maliciosa tinha como alvo usuários de anúncios do Facebook, com o objetivo de roubar dados como tokens de acesso, IDs de usuário e outras informações de contas, juntamente com cookies. O código também adicionou um ouvinte de clique do mouse. “Depois de enviar com sucesso todos os dados para o servidor (Comando e Controle), o ID do usuário do Facebook é salvo no armazenamento do navegador”, disse Cyberhaven em sua análise. “Esse ID de usuário é então usado em eventos de clique do mouse para ajudar os invasores com 2FA ao seu lado, se necessário.”
A Cyberhaven disse que detectou a violação pela primeira vez em 25 de dezembro e conseguiu remover a versão maliciosa da extensão em uma hora. Desde então, lançou uma versão limpa.
