Los piratas informáticos comprometieron varias extensiones de Chrome, incluida una desarrollada por Cyberhaven, mediante un ataque de phishing que se produjo el 24 de diciembre de 2024, obteniendo acceso a cuentas de administrador y modificando las extensiones con código malicioso.
Detalles del ataque a Cyberhaven
Cyberhaven confirmó en una publicación de blog que su extensión fue el objetivo, y que el ataque afectó activamente a los usuarios desde la 1:32 a. m. UTC del 25 de diciembre hasta las 2:50 a. m. UTC del 26 de diciembre. La versión maliciosa se publicó en Nochebuena, utilizando credenciales comprometidas para publicar la versión 24.10.4.
La infracción se detectó el 25 de diciembre y Cyberhaven eliminó la extensión maliciosa en una hora. Cyberhaven notificó a los clientes afectados el 26 de diciembre, aconsejándoles que revocaran y rotaran sus contraseñas y otras credenciales. El ataque pareció centrarse en robar datos de los usuarios de anuncios de Facebook, incluidos tokens de acceso, ID de usuario y cookies, para ayudar a eludir la autenticación de dos factores.
Este incidente es parte de una campaña más amplia dirigida a extensiones conocidas de Chrome, con al menos 16 extensiones comprometidas y más de 600.000 usuarios afectados. Otras extensiones identificadas como comprometidas incluyen ParrotTalks, Uvoice y VPNCity, entre otras.
El ataque de phishing tenía como objetivo inducir urgencia al sugerir la eliminación inminente de la extensión, atrayendo al empleado de Cyberhaven a autorizar una aplicación OAuth maliciosa llamada “Extensión de la política de privacidad”. Después de esta autorización, el atacante obtuvo los permisos necesarios para publicar la extensión maliciosa.
Cyberhaven declaró que contrataron a una empresa externa de respuesta a incidentes y están cooperando con las autoridades federales. Implementaron medidas de seguridad adicionales para evitar incidentes similares y publicaron una versión limpia (24.10.5) de la extensión después de eliminar la versión comprometida.
Se recomendó a los clientes que utilizaran la extensión comprometida que verificaran la actualización a la versión 24.10.5 o posterior y revisaran sus registros para detectar cualquier actividad sospechosa.
Crédito de la imagen destacada: Kerem Gülen/Midjourney
La publicación Los piratas informáticos comprometen varias extensiones de Chrome en un ataque de phishing apareció por primera vez en TechBriefly.
Source: Los piratas informáticos comprometen varias extensiones de Chrome en un ataque de phishing
