Hackers sequestraram extensões legítimas do Chrome para tentar roubar dados

Uma campanha de ataque cibernético inseriu código malicioso em várias extensões do navegador Chrome já em meados de dezembro, Reuters informou ontem. O código parecia projetado para roubar cookies do navegador e sessões de autenticação, visando “publicidade específica em mídia social e plataformas de IA”, de acordo com uma postagem no blog da Cyberhaven, uma das empresas visadas.

Cyberhaven culpa um e-mail de phishing pelo ataque, escrevendo em uma postagem de análise técnica separada que o código parecia ter como alvo específico contas de anúncios do Facebook. De acordo com Reuters, sO pesquisador de segurança Jaime Blasco acredita que o ataque foi “apenas aleatório” e não teve como alvo específico o Cyberhaven. Ele postou no X que encontrou extensões de VPN e IA que continham o mesmo código malicioso inserido no Cyberhaven.

Cyberhaven diz que os hackers lançaram uma atualização (versão 24.10.4) de sua extensão de prevenção contra perda de dados Cyberhaven contendo o código malicioso na véspera de Natal às 20h32 horário do leste dos EUA. Cyberhaven diz que descobriu o código em 25 de dezembro às 18h54 horário do leste dos EUA e o removeu em uma hora, mas que o código estava ativo até 25 de dezembro às 21h50 horário do leste dos EUA. A empresa afirma ter lançado uma versão limpa em sua atualização 24.10.5.

As recomendações da Cyberhaven para empresas que podem ser afetadas incluem que verifiquem seus registros em busca de atividades suspeitas e revoguem ou alternem quaisquer senhas que não usem o padrão de autenticação multifator FIDO2. Antes de publicar suas postagens, a empresa notificou os clientes por e-mail que TechCrunch relatado na manhã de sexta-feira.