Una campaña de ataque reciente comprometió 16 extensiones del navegador Chrome, exponiendo a más de 600.000 usuarios a un posible robo de datos y compromiso de credenciales. La campaña se dirigió a los editores mediante phishing, lo que permitió a los atacantes inyectar código malicioso en extensiones legítimas.
Extensiones de Chrome pirateadas: más de 600.000 usuarios expuestos
La firma de ciberseguridad refugio cibernético fue la primera víctima conocida: un empleado cayó en un ataque de phishing el 24 de diciembre. Esta infracción permitió a los atacantes publicar una versión maliciosa de la extensión de Cyberhaven. El 27 de diciembre, Cyberhaven confirmó que la extensión estaba comprometida y que se había inyectado código malicioso para interactuar con un servidor externo de comando y control (C&C) en cyberhavenext.[.]pro.
El correo electrónico de phishing, disfrazado de comunicación del soporte para desarrolladores de Google Chrome Web Store, creó una falsa sensación de urgencia, alegando que la extensión del destinatario corría el riesgo de ser eliminada debido a violaciones de la política. Al hacer clic en el enlace, accedieron a una aplicación OAuth maliciosa llamada «Extensión de política de privacidad», que obtuvo los permisos necesarios para cargar una versión maliciosa de la extensión.
Después de la violación de Cyberhaven, los investigadores identificaron extensiones comprometidas adicionales vinculadas al mismo servidor C&C, incluido AI Assistant. ChatGPT y Géminis para ChromeVPNCity y varios otros. John Tuckner, fundador de Secure Anexo, dijo Las noticias de los piratas informáticos que la campaña de ataque podría remontarse al 5 de abril de 2023.
La investigación de Tuckner conectó Cyberhaven y ataques relacionados a través de código malicioso compartido en la extensión «Modo Lector». Algunas extensiones comprometidas apuntaban a cuentas de Facebook, específicamente dentro de los anuncios de Facebook, con el objetivo de filtrar cookies y tokens de acceso.
Cyberhaven informó que la extensión maliciosa se eliminó aproximadamente 24 horas después de su lanzamiento. Sin embargo, se advierte que el código malicioso aún podría recuperar datos de los usuarios que instalaron la versión comprometida antes de que fuera eliminada. Los equipos de seguridad continúan investigando otras extensiones expuestas dentro de esta campaña más amplia.
Vulnerabilidad de autenticación de dos factores de Google Chrome
A medida que se desarrolló la violación de Cyberhaven, reveló vulnerabilidades importantes, incluida la posibilidad de que los piratas informáticos eludieran las protecciones de autenticación de dos factores. Cyberhaven confirmó que el ataque se centró específicamente en los inicios de sesión en publicidad en redes sociales y plataformas de inteligencia artificial.
La infracción comenzó con un ataque de phishing que comprometió las credenciales de Google de un empleado, lo que permitió al atacante cargar una extensión maliciosa. Howard Ting, director ejecutivo de Cyberhaven, confirmó que su equipo detectó la extensión maliciosa poco después de su lanzamiento el 25 de diciembre y la eliminó en una hora.
La versión comprometida afectó solo a los usuarios que habían actualizado Chrome automáticamente durante la ventana en la que el código malicioso estaba activo. Cyberhaven tomó medidas rápidas, notificó a los clientes e implementó una versión segura de la extensión.
Cyberhaven recomendó a los usuarios afectados que verificaran que habían actualizado su extensión, revocaran y rotaran las contraseñas que no cumplieran con FIDOv2 y que revisaran los registros en busca de actividad sospechosa. Han contratado a empresas de seguridad externas para realizar análisis forenses y están cooperando con las autoridades como parte de su respuesta a la infracción.
Cyberhaven ha reafirmado su compromiso con la transparencia y las mejoras continuas de seguridad a la luz del incidente.
Crédito de la imagen destacada: Kerem Gülen/A mitad del viaje
