Extensão de segurança do Chrome é hackeada para roubar dados do usuário

Pelo menos cinco extensões do Chrome foram comprometidas em um ataque coordenado, onde um invasor injetou com sucesso um código que roubou informações confidenciais dos usuários.

Estas são as informações fornecidas por especialistas em segurança cibernética da Cyberhaven. A empresa de segurança de dados sediada nos EUA alertou seus clientes sobre uma violação ocorrida em 24 de dezembro, após uma campanha de phishing bem-sucedida que teve como alvo a conta de administrador da empresa na Google Chrome Store.

Entre os clientes da Cyberhaven estão marcas populares como Snowflake, Motorola, Canon, Reddit, AmeriHealth, Cooley, IVP, Navan, DBS, Upstart e Kirkland & Ellis.

Hackers assumiram o controle das contas de funcionários e lançaram uma versão maliciosa (24.10.4) da extensão Cyberhaven, que incluía código que poderia roubar sessões autenticadas e cookies para o domínio do invasor (cyberhavenext[.]pro).

A equipe de segurança interna da Cyberhaven removeu o pacote de malware uma hora após a detecção, informou a empresa em um e-mail aos clientes.

A versão limpa da extensão é a v24.10.5, lançada em 26 de dezembro. Além de atualizar para a versão mais recente, os usuários da extensão Cyberhaven para Chrome são aconselhados a revogar senhas que não sejam FIDOv2, alterar todos os tokens de API e revisar os logs do navegador para avaliar se há atividades maliciosas.

Muitas extensões do Chrome foram hackeadas

Após a divulgação da Cyberhaven, o pesquisador da Nudge Security, Jaime Blasco, conduziu uma investigação mais profunda, redirecionando a partir do endereço IP e do nome de domínio registrado do invasor.

Segundo Blasco, o código malicioso que permitiu que a extensão recebesse comandos do invasor também foi injetado em outras extensões do Chrome ao mesmo tempo:

• Internxt VPN – VPN gratuita, criptografada e ilimitada para navegação segura na web. (10.000 usuários)
• VPNCity – VPN focada em privacidade com criptografia AES de 256 bits e cobertura global de servidores. (50.000 usuários)
• Uvoice – Serviço baseado em recompensas para ganhar pontos por meio de pesquisas e fornecer dados de uso do PC. (40.000 usuários)
• ParrotTalks – Mecanismo de busca de informações especializado em texto integrado e anotações. (40.000 usuários)
• Blasco encontrou vários domínios apontando para diversas outras vítimas em potencial, mas até agora apenas as extensões acima foram confirmadas como contendo código malicioso.

Os usuários dessas extensões são aconselhados a removê-las imediatamente de seus navegadores ou atualizar para uma versão segura lançada após 26 de dezembro, após garantir que o editor esteja ciente do problema de segurança e o tenha corrigido.

Se não tiver certeza, é melhor desinstalar a extensão, redefinir senhas importantes da conta, limpar os dados do navegador e redefinir as configurações do navegador para os padrões de fábrica.