Расширение безопасности Chrome взломано с целью кражи пользовательских данных
По меньшей мере пять расширений Chrome были взломаны в результате скоординированной атаки, в ходе которой злоумышленник успешно внедрил код, укравший конфиденциальную информацию у пользователей.
По меньшей мере пять расширений Chrome были взломаны в результате скоординированной атаки, в ходе которой злоумышленник успешно внедрил код, укравший конфиденциальную информацию у пользователей.
Об этом говорят эксперты по кибербезопасности Cyberhaven. Американская компания по обеспечению безопасности данных предупредила своих клиентов о взломе, произошедшем 24 декабря после успешной фишинговой кампании, нацеленной на учетную запись администратора компании в магазине Google Chrome.
Среди клиентов Cyberhaven выделяются такие популярные бренды, как Snowflake, Motorola, Canon, Reddit, AmeriHealth, Cooley, IVP, Navan, DBS, Upstart и Kirkland & Ellis.
Хакеры захватили учетные записи сотрудников и выпустили вредоносную версию (24.10.4) расширения Cyberhaven, которая включала код, который мог украсть аутентифицированные сеансы и файлы cookie в домене злоумышленника (cyberhavenext(.)pro).
Команда внутренней безопасности Cyberhaven удалила пакет вредоносного ПО в течение часа после обнаружения, сообщила компания в электронном письме клиентам.
Расширение безопасности Chrome взломано с целью кражи пользовательских данных. Изображение 1
Чистая версия расширения — v24.10.5, выпущенная 26 декабря. Помимо обновления до последней версии, пользователям расширения Cyberhaven Chrome рекомендуется отозвать пароли, отличные от FIDOv2, изменить все токены API и просмотреть журналы браузера, чтобы оценить за вредоносную деятельность.
Многие расширения Chrome были взломаны
После раскрытия информации Cyberhaven исследователь Nudge Security Хайме Бласко провел более глубокое расследование, перенаправляясь с IP-адреса злоумышленника и зарегистрированного доменного имени.
Расширение безопасности Chrome взломано с целью кражи пользовательских данных. Изображение 2
По словам Бласко, вредоносный код, позволявший расширению получать команды от злоумышленника, одновременно был внедрен и в другие расширения Chrome:
- Internxt VPN – бесплатный, зашифрованный, безлимитный VPN для безопасного просмотра. (10 000 пользователей)
- VPNCity – VPN, ориентированная на конфиденциальность, с 256-битным шифрованием AES и глобальным покрытием серверов. (50 000 пользователей)
- Uvoice — сервис на основе вознаграждений, позволяющий зарабатывать баллы посредством опросов и предоставлять данные об использовании ПК. (40 000 пользователей)
- ParrotTalks – универсальная поисковая система по тексту и заметкам. (40 000 пользователей)
- Бласко обнаружил несколько доменов, указывающих на нескольких других потенциальных жертв, но на данный момент подтверждено, что только указанные выше расширения содержат вредоносный код.
Пользователям этих расширений рекомендуется немедленно удалить их из своих браузеров или перейти на безопасную версию, выпущенную после 26 декабря, после того, как вы убедитесь, что издатель знает о проблеме безопасности и устранил ее.
Если вы не уверены, лучше всего удалить расширение, сбросить важные пароли учетных записей, очистить данные браузера и сбросить настройки браузера до заводских настроек.
Лесли Монтойя
Обновление от 28 декабря 2024 г.