В ходе недавней атаки хакеры внедрили вредоносный код в несколько расширений Chrome

Сообщается, что хакерам удалось изменять несколько расширений Chrome с вредоносным кодом в этом месяце, получая доступ к учетным записям администратора через фишинговую кампанию. Компания по кибербезопасности Cyberhaven сообщила в своем блоге в эти выходные, что ее Chrome Расширение было скомпрометировано 24 декабря в результате атаки, которая, по-видимому, была «целенаправленной на входы в определенные платформы рекламы в социальных сетях и искусственного интеллекта». По данным Reuters, в середине декабря были взломаны еще несколько расширений. По словам Хайме Бласко из Nudge Security, к ним относятся ParrotTalks, Uvoice и VPNCity.

Cyberhaven уведомила своих клиентов 26 декабря в электронном письме, с которым ознакомился TechCrunch, и посоветовала им отозвать и изменить свои пароли и другие учетные данные. Первоначальное расследование инцидента компанией показало, что вредоносное расширение было нацелено на пользователей Facebook Ads, чтобы украсть данные, такие как токены доступа, идентификаторы пользователей и другую информацию об аккаунте, а также файлы cookie. Код также добавлял отслеживатель щелчков мыши. «После успешной отправки всех данных на сервер [Command & Control] идентификатор пользователя Facebook сохраняется в памяти браузера», — говорится в анализе Cyberhaven. «Затем этот идентификатор пользователя используется в событиях щелчков, чтобы помочь злоумышленникам с 2FA на их стороне, если это необходимо».

Cyberhaven заявила, что впервые обнаружила нарушение 25 декабря и смогла удалить вредоносную версию расширения в течение часа. С тех пор она выпустила чистую версию.