Lestensione di sicurezza di Chrome è stata hackerata per rubare i dati degli utenti

Almeno cinque estensioni di Chrome sono state compromesse in un attacco coordinato, in cui un autore della minaccia è riuscito a iniettare codice che ha rubato informazioni sensibili agli utenti.

Queste sono le informazioni fornite dagli esperti di sicurezza informatica di Cyberhaven. L'azienda statunitense specializzata in sicurezza dei dati ha avvisato i propri clienti di una violazione verificatasi il 24 dicembre, in seguito a una campagna di phishing di successo che aveva preso di mira l'account amministratore dell'azienda sul Google Chrome Store.

Tra i clienti di Cyberhaven figurano marchi noti come Snowflake, Motorola, Canon, Reddit, AmeriHealth, Cooley, IVP, Navan, DBS, Upstart e Kirkland & Ellis.

Gli hacker hanno preso il controllo degli account dei dipendenti e rilasciato una versione dannosa (24.10.4) dell'estensione Cyberhaven, che includeva un codice in grado di rubare sessioni autenticate e cookie sul dominio dell'aggressore (cyberhavenext[.]pro).

Il team di sicurezza interna di Cyberhaven ha rimosso il pacchetto malware entro un'ora dal rilevamento, ha affermato l'azienda in un'e-mail ai clienti.

La versione pulita dell'estensione è la v24.10.5, rilasciata il 26 dicembre. Oltre ad aggiornare all'ultima versione, si consiglia agli utenti dell'estensione Cyberhaven per Chrome di revocare le password non FIDOv2, modificare tutti i token API ed esaminare i log del browser per individuare eventuali attività dannose.

Molte estensioni di Chrome sono state hackerate

Dopo la rivelazione di Cyberhaven, il ricercatore di Nudge Security Jaime Blasco ha condotto un'indagine più approfondita, partendo dall'indirizzo IP dell'aggressore e dal nome di dominio registrato.

Secondo Blasco, il codice dannoso che ha consentito all'estensione di ricevere comandi dall'aggressore è stato iniettato contemporaneamente anche in altre estensioni di Chrome:

• Internxt VPN: VPN gratuita, crittografata e illimitata per una navigazione web sicura. (10.000 utenti)
• VPNCity: VPN incentrata sulla privacy con crittografia AES a 256 bit e copertura server globale. (50.000 utenti)
• Uvoice – Servizio basato sui premi per guadagnare punti tramite sondaggi e fornire dati sull'utilizzo del PC. (40.000 utenti)
• ParrotTalks – Motore di ricerca di informazioni specializzato nella scrittura fluida di testi e appunti. (40.000 utenti)
• Blasco ha trovato diversi domini che puntano a diverse altre potenziali vittime, ma finora è stato confermato che solo le estensioni sopra menzionate contengono codice dannoso.

Si consiglia agli utenti di queste estensioni di rimuoverle immediatamente dai propri browser o di aggiornarle a una versione sicura rilasciata dopo il 26 dicembre, dopo essersi assicurati che l'editore sia a conoscenza del problema di sicurezza e lo abbia risolto.

In caso di dubbi, è consigliabile disinstallare l'estensione, reimpostare le password importanti degli account, cancellare i dati del browser e ripristinare le impostazioni predefinite del browser.