Mais 25 extensões do Chrome terão sido comprometidas por hackers
Um novo ataque terá tido como alvo várias extensões do Chrome, comprometendo, pelo menos, mais 25 extensões e expondo os dados de mais de 600.000 utilizadores.
Conforme informámos, a primeira a ser vítima do ataque foi a empresa de cibersegurança Cyberhaven, quando um dos seus funcionários foi alvo de um ataque de phishing, no dia 24 de dezembro.
Este permitiu aos agentes da ameaça publicar uma versão maliciosa da extensão.
Cyberhaven foi a primeira vítima
Em 27 de dezembro, a Cyberhaven revelou que um agente comprometeu a sua extensão de browser e injetou código malicioso para comunicar com um servidor externo de comando e controlo (C&C) localizado no domínio cyberhavenext[.]pro, descarregar ficheiros de configuração adicionais e extrair dados do utilizador.
Desta forma, segundo a Cyberhaven, "o autor do ataque obteve as permissões necessárias através da aplicação maliciosa e carregou uma extensão maliciosa do Chrome para a Chrome Web Store; após o habitual processo de revisão de segurança da Chrome Web Store, a extensão maliciosa foi aprovada para publicação".
Extensões de browser "são o ponto fraco da segurança na Web"
Segundo Or Eshed, diretor-executivo da LayerX Security, especializada em segurança de extensões de browser, estas são "o ponto fraco da segurança na Web".
Embora tenhamos tendência para pensar que as extensões de browser são inofensivas, na prática, são-lhes frequentemente concedidas permissões extensivas a informações sensíveis do utilizador, tais como cookies, tokens de acesso, informações de identidade e muito mais.
Muitas organizações nem sequer sabem quais as extensões que têm instaladas e não estão conscientes da dimensão da sua exposição.
Após a notícia da violação da Cyberhaven, uma investigação mais aprofundada revelou mais extensões que se suspeita terem sido comprometidas, de acordo com a plataforma de segurança de extensões de browser Secure Annex:
Esta lista de extensões comprometidas indica que a Cyberhaven não foi um alvo isolado, mas antes parte de um ataque em larga escala que visou extensões de browser legítimas.
Ao The Hacker News, John Tuckner, fundador da Secure Annex disse que existe a possibilidade de o ataque estar a ser conduzido desde 5 de abril de 2023, ou provavelmente ainda antes disso, com base nas datas de registo dos domínios usados: nagofsg[.]com foi registado em agosto de 2022 e sclpfybn[.]com foi registado em julho de 2023.
Ainda que as extensões sejam removidas da Chrome Web Store, "enquanto a versão comprometida da extensão ainda estiver ativa no endpoint, os hackers podem continuar a aceder-lhe e a extrair dados", segundo Or Eshed.
Os investigadores de segurança continuam a procurar outras extensões expostas, mas a sofisticação e o âmbito do ataque aumentaram a fasquia.
Neste momento, não é claro quem está por detrás do ataque.
O que você está lendo é [Mais 25 extensões do Chrome terão sido comprometidas por hackers].Se você quiser saber mais detalhes, leia outros artigos deste site.
Wonderful comments