Os hackers conseguiram modificar várias extensões do Chrome com código malicioso este mês, após obter acesso a contas de administrador por meio de uma campanha de phishing. A empresa de segurança cibernética Cyberhaven compartilhou neste fim de semana que sua extensão do Chrome foi comprometida em 24 de dezembro em um ataque que parecia “direcionar logins para anúncios específicos de mídia social e plataformas de inteligência artificial”. Algumas outras extensões, que datam de meados de dezembro, também foram afetadas, relatado. De acordo com a Nudge Security, isso inclui ParrotTalks, Uvoice e VPNCity.
A Cyberhaven notificou seus clientes em 26 de dezembro em um e-mail que os aconselhou a revogar e alternar suas senhas e outras credenciais. A investigação inicial da empresa sobre o incidente descobriu que a extensão maliciosa tinha como alvo os usuários do Facebook Ads, com o objetivo de roubar dados como tokens de acesso, IDs de usuário e outras informações da conta, juntamente com cookies. O código também adicionou um ouvinte de clique do mouse. “Depois de enviar com sucesso todos os dados para o arquivo [Command & Control] servidor, o ID do usuário do Facebook é salvo na memória do navegador”, disse Cyberhaven em sua análise. “O ID do usuário é então usado em eventos de clique do mouse para ajudar os invasores com 2FA ao seu lado, se necessário”.
A Cyberhaven disse que detectou a violação pela primeira vez em 25 de dezembro e conseguiu remover a versão maliciosa da extensão em uma hora. Uma versão limpa já foi lançada.
FONTE