Хакери впровадили шкідливий код у кілька розширень Chrome під час нещодавньої атаки

0
780 views
Хакери впровадили шкідливий код у кілька розширень Chrome під час нещодавньої атаки

Як повідомляється, цього місяця хакери змогли модифікувати кілька розширень Chrome за допомогою шкідливого коду, отримавши доступ до облікових записів адміністраторів за допомогою фішингової кампанії. Компанія з кібербезпеки Cyberhaven повідомила у своєму блозі на цих вихідних, що її розширення для Chrome було скомпрометоване 24 грудня в результаті атаки, яка, як видається, була “націлена на логіни до певних рекламних платформ у соціальних мережах та платформ штучного інтелекту”. За повідомленням Reuters, ще в середині грудня було зламано кілька інших розширень. За словами Хайме Бласко з Nudge Security, це ParrotTalks, Uvoice і VPNCity.

Cyberhaven повідомила своїх клієнтів 26 грудня в електронному листі, який бачив TechCrunch, і порадила їм відкликати і змінити свої паролі та інші облікові дані. Початкове розслідування інциденту, проведене компанією, показало, що шкідливе розширення було націлене на користувачів Facebook Ads з метою викрадення таких даних, як токени доступу, ідентифікатори користувачів та іншу інформацію про облікові записи, а також файли cookie. Код також додавав прослуховувач кліків миші. “Після успішної відправки всіх даних на сервер [Command & Control] ідентифікатор користувача Facebook зберігається в пам’яті браузера”, – йдеться в аналізі Cyberhaven. “Цей ідентифікатор користувача потім використовується в подіях клацання мишею, щоб допомогти зловмисникам з 2FA на їхньому боці, якщо це було необхідно”.

Cyberhaven заявила, що вперше виявила пролом 25 грудня і змогла видалити шкідливу версію розширення протягом години. З тих пір вона випустила чисту версію.