Расширение безопасности Chrome взломано с целью кражи пользовательских данных

По меньшей мере пять расширений Chrome были скомпрометированы в результате скоординированной атаки, в ходе которой злоумышленник успешно внедрил код, похитивший конфиденциальную информацию пользователей.

Такую информацию предоставили эксперты по кибербезопасности из Cyberhaven. Американская компания по защите данных предупредила своих клиентов об утечке, произошедшей 24 декабря после успешной фишинговой кампании, нацеленной на учетную запись администратора компании в магазине Google Chrome.

Среди клиентов Cyberhaven выделяются такие популярные бренды, как Snowflake, Motorola, Canon, Reddit, AmeriHealth, Cooley, IVP, Navan, DBS, Upstart и Kirkland & Ellis.

Хакеры взломали учетные записи сотрудников и выпустили вредоносную версию (24.10.4) расширения Cyberhaven, которая включала код, позволяющий красть аутентифицированные сеансы и файлы cookie домена злоумышленника (cyberhavenext[.]pro).

В электронном письме клиентам компания сообщила, что внутренняя служба безопасности Cyberhaven удалила вредоносный пакет в течение часа с момента обнаружения.

Чистая версия расширения — v24.10.5, выпущенная 26 декабря. Помимо обновления до последней версии, пользователям расширения Cyberhaven для Chrome рекомендуется отозвать пароли, не относящиеся к FIDOv2, изменить все токены API и просмотреть журналы браузера для оценки вредоносной активности.

Многие расширения Chrome были взломаны

После раскрытия информации Cyberhaven исследователь Nudge Security Хайме Бласко провел более глубокое расследование, выполнив перенаправление с IP-адреса злоумышленника и зарегистрированного доменного имени.

По словам Бласко, вредоносный код, позволяющий расширению получать команды от злоумышленника, был одновременно внедрен и в другие расширения Chrome:

• Internxt VPN — бесплатный, зашифрованный, безлимитный VPN для безопасного просмотра веб-страниц. (10 000 пользователей)
• VPNCity — ориентированный на конфиденциальность VPN с 256-битным шифрованием AES и глобальным покрытием серверов. (50 000 пользователей)
• Uvoice – основанный на вознаграждениях сервис, позволяющий зарабатывать баллы за участие в опросах и предоставление данных об использовании ПК. (40 000 пользователей)
• ParrotTalks – информационная поисковая система, специализирующаяся на бесшовном тексте и создании заметок. (40 000 пользователей)
• Бласко обнаружил несколько доменов, указывающих на нескольких других потенциальных жертв, но на данный момент подтверждено, что вредоносный код содержится только в указанных выше расширениях.

Пользователям этих расширений рекомендуется немедленно удалить их из своих браузеров или обновиться до безопасной версии, выпущенной после 26 декабря, убедившись, что издатель знает о проблеме безопасности и устранил ее.

Если вы не уверены, лучше всего удалить расширение, сбросить важные пароли учетных записей, очистить данные браузера и сбросить настройки браузера до заводских значений.