Um novo ataque terá tido como alvo várias extensões do Chrome, comprometendo, pelo menos, mais 25 extensões e expondo os dados de mais de 600.000 utilizadores.
Conforme informámos, a primeira a ser vítima do ataque foi a empresa de cibersegurança Cyberhaven, quando um dos seus funcionários foi alvo de um ataque de phishing, no dia 24 de dezembro.
Este permitiu aos agentes da ameaça publicar uma versão maliciosa da extensão.
Cyberhaven foi a primeira vítima
Em 27 de dezembro, a Cyberhaven revelou que um agente comprometeu a sua extensão de browser e injetou código malicioso para comunicar com um servidor externo de comando e controlo (C&C) localizado no domínio cyberhavenext[.]pro, descarregar ficheiros de configuração adicionais e extrair dados do utilizador.
Our team has confirmed a malicious cyberattack that occurred on Christmas Eve, affecting Cyberhaven’s Chrome extension. Here’s our post about the incident and the steps we’re taking: https://t.co/VTBC73eWda
Our security team is available 24/7 to assist affected customers and…
— Cyberhaven (@CyberhavenInc) December 27, 2024
O e-mail de phishing, que supostamente provinha do Google Chrome Web Store Developer Support, procurava induzir um falso sentido de urgência, alegando que a extensão estava em risco de ser removida da loja de extensões, citando uma violação das Políticas do Programa para Programadores.
Além disso, pedia ao destinatário que clicasse num link para aceitar as políticas, após o que era redirecionado para uma página de concessão de permissões a uma aplicação OAuth maliciosa chamada “Privacy Policy Extension”.
Desta forma, segundo a Cyberhaven, “o autor do ataque obteve as permissões necessárias através da aplicação maliciosa e carregou uma extensão maliciosa do Chrome para a Chrome Web Store; após o habitual processo de revisão de segurança da Chrome Web Store, a extensão maliciosa foi aprovada para publicação”.
Extensões de browser “são o ponto fraco da segurança na Web”
Segundo Or Eshed, diretor-executivo da LayerX Security, especializada em segurança de extensões de browser, estas são “o ponto fraco da segurança na Web”.
Embora tenhamos tendência para pensar que as extensões de browser são inofensivas, na prática, são-lhes frequentemente concedidas permissões extensivas a informações sensíveis do utilizador, tais como cookies, tokens de acesso, informações de identidade e muito mais.
Muitas organizações nem sequer sabem quais as extensões que têm instaladas e não estão conscientes da dimensão da sua exposição.
Após a notícia da violação da Cyberhaven, uma investigação mais aprofundada revelou mais extensões que se suspeita terem sido comprometidas, de acordo com a plataforma de segurança de extensões de browser Secure Annex:
- AI Assistant – ChatGPT and Gemini for Chrome
- Bard AI Chat Extension
- GPT 4 Summary with OpenAI
- Search Copilot AI Assistant for Chrome
- TinaMInd AI Assistant
- Wayin AI
- VPNCity
- Internxt VPN
- Vindoz Flex Video Recorder
- VidHelper Video Downloader
- Bookmark Favicon Changer
- Castorus
- Uvoice
- Reader Mode
- Parrot Talks
- Primus
- Tackker – online keylogger tool
- AI Shop Buddy
- Sort by Oldest
- Rewards Search Automator
- ChatGPT Assistant – Smart Search
- Keyboard History Recorder
- Email Hunter
- Visual Effects for Google Meet
- Earny – Up to 20% Cash Back
Esta lista de extensões comprometidas indica que a Cyberhaven não foi um alvo isolado, mas antes parte de um ataque em larga escala que visou extensões de browser legítimas.
Ao The Hacker News, John Tuckner, fundador da Secure Annex disse que existe a possibilidade de o ataque estar a ser conduzido desde 5 de abril de 2023, ou provavelmente ainda antes disso, com base nas datas de registo dos domínios usados: nagofsg[.]com foi registado em agosto de 2022 e sclpfybn[.]com foi registado em julho de 2021.
Ainda que as extensões sejam removidas da Chrome Web Store, “enquanto a versão comprometida da extensão ainda estiver ativa no endpoint, os hackers podem continuar a aceder-lhe e a extrair dados”, segundo Or Eshed.
Os investigadores de segurança continuam a procurar outras extensões expostas, mas a sofisticação e o âmbito do ataque aumentaram a fasquia.
Neste momento, não é claro quem está por detrás do ataque.
PUB
PUB.
Loading …PUB.
Velocímetro Pplware
Teste a velocidade da sua Internet
