Хакери скомпрометували популярні розширення Chrome для викрадення даних
Хакери скомпрометували легітимні розширення Chrome, включаючи Cyberhaven, для викрадення даних. Атака націлена на облікові записи Facebook Ads і платформи ШІ.
Кібератака охопила кілька популярних розширень Chrome, спрямована на викрадення даних користувачів і доступ до облікових записів соціальних мереж та рекламних платформ.
За даними Reuters, кампанія кібератак, яка тривала ще з середини грудня, впровадила шкідливий код у кілька розширень браузера Chrome. Цей код був призначений для викрадення cookies та сеансів автентифікації, а головною ціллю хакерів стали акаунти Facebook Ads та платформи на основі штучного інтелекту.
Як відбулася атака
Компанія Cyberhaven, одне з постраждалих розширень, заявила, що атака, ймовірно, почалася через фішинговий лист. У технічному аналізі компанія зазначила, що шкідливий код був спеціально розроблений для компрометації акаунтів Facebook Ads. Однак дослідник кібербезпеки Хайме Бласко вважає, що атака не була цілеспрямованою саме на Cyberhaven. У своєму дописі в соцмережі X він зазначив, що аналогічний шкідливий код було виявлено і в інших розширеннях, зокрема Internxt VPN, VPNCity, Uvoice та ParrotTalks.
Our team has confirmed a malicious cyberattack that occurred on Christmas Eve, affecting Cyberhaven's Chrome extension. Here's our post about the incident and the steps we're taking: https://t.co/VTBC73eWda
— Cyberhaven (@CyberhavenInc) December 27, 2024
Our security team is available 24/7 to assist affected customers and…
Хакери впровадили оновлення версії 24.10.4 розширення Cyberhaven увечері 24 грудня о 20:32 за східним часом (ET). Шкідливий код залишався активним до 25 грудня о 21:50 ET, доки його не було виявлено та видалено. Компанія випустила чисту версію розширення 24.10.5 менш ніж за годину після виявлення проблеми.
Рекомендації для користувачів та компаній
Cyberhaven рекомендує компаніям, які могли постраждати від атаки:
- Перевірити журнали на наявність підозрілої активності.
- Скасувати або змінити всі паролі, які не використовують стандарт FIDO2 для багатофакторної автентифікації.
- Забезпечити постійний моніторинг безпеки для виявлення потенційних загроз.
Перед публікацією офіційних заяв Cyberhaven сповістила своїх клієнтів електронною поштою, про що повідомив TechCrunch.
Ця атака підкреслює зростаючу загрозу, яку становлять кібератаки через скомпрометовані розширення браузерів. Користувачам і компаніям слід бути особливо уважними до оновлень розширень, регулярно перевіряти їх на безпеку та використовувати багатофакторну автентифікацію для захисту важливих облікових записів.