Як повідомляється, цього місяця хакери змогли модифікувати кілька розширень Chrome за допомогою шкідливого коду, отримавши доступ до облікових записів адміністраторів за допомогою фішингової кампанії. Компанія з кібербезпеки Cyberhaven повідомила у своєму блозі на цих вихідних, що її розширення для Chrome було скомпрометоване 24 грудня в результаті атаки, яка, як видається, була “націлена на логіни до певних рекламних платформ у соціальних мережах та платформ штучного інтелекту”. За повідомленням Reuters, ще в середині грудня було зламано кілька інших розширень. За словами Хайме Бласко з Nudge Security, це ParrotTalks, Uvoice і VPNCity.
Cyberhaven повідомила своїх клієнтів 26 грудня в електронному листі, який бачив TechCrunch, і порадила їм відкликати і змінити свої паролі та інші облікові дані. Початкове розслідування інциденту, проведене компанією, показало, що шкідливе розширення було націлене на користувачів Facebook Ads з метою викрадення таких даних, як токени доступу, ідентифікатори користувачів та іншу інформацію про облікові записи, а також файли cookie. Код також додавав прослуховувач кліків миші. “Після успішної відправки всіх даних на сервер [Command & Control] ідентифікатор користувача Facebook зберігається в пам’яті браузера”, – йдеться в аналізі Cyberhaven. “Цей ідентифікатор користувача потім використовується в подіях клацання мишею, щоб допомогти зловмисникам з 2FA на їхньому боці, якщо це було необхідно”.
Cyberhaven заявила, що вперше виявила пролом 25 грудня і змогла видалити шкідливу версію розширення протягом години. З тих пір вона випустила чисту версію.