As extensões do Google Chrome permitem alargar consideravelmente as capacidades do navegador, introduzindo novas funções ou melhorando as existentes. No entanto, tendo em conta a integração que algumas possuem, podem também ser a porta de entrada para possíveis ataques e roubos de dados.
Recentemente a empresa Cyberhaven, que fornece serviços de cibersegurança para algumas empresas de renome no mercado, confirmou ter sido vítima de um ataque informático, onde os atacantes conseguiram obter as credenciais de acesso de um funcionário via um ataque de phishing. Este funcionário teria acesso à plataforma da empresa na Chrome Web Store, onde esta fornece a sua própria extensão para os clientes de forma a fornecer os seus serviços.
Com este acesso, os atacantes usaram a conta de programador da Cyberhaven na Chrome Web Store para enviar uma versão modificada da extensão da empresa, que foi automaticamente aplicada em todos os sistemas onde a mesma estaria instalada. Esta versão maliciosa usava código ofuscado para obter os cookies e dados de login dos utilizadores, enviando os mesmos para os sistemas em controlo dos atacantes.
A equipa de segurança da Cyberhaven terá identificado a alteração cerca de uma hora depois da extensão ter sido ativada, mas ainda assim existe o potencial de os clientes da mesma terem sido afetados.
A versão maliciosa foi substituir por uma nova atualização, contendo a versão segura, no dia 26 de Dezembro. Os clientes da entidade foram igualmente notificados do incidente.
Pouco depois do incidente ter sido confirmado nesta empresa, o investigador de segurança Jaime Blasco terá investigado outras extensões que poderiam usar o mesmo formato de ataque, e que estariam a contactar o mesmo servidor usado pelos atacantes. Foram assim descobertas cinco outras extensões na Chrome Web Store que terão sido igualmente modificadas para o mesmo fim:
Internxt VPN
VPNCity
Uvoice
ParrotTalks
Estas extensões teriam igualmente código malicioso focado em roubar dados dos navegadores das vítimas, enviando os mesmos para os sistemas em controlo dos atacantes. Os utilizadores das mesmas são aconselhados a removerem-nas imediatamente do navegador, bem como a garantirem que as suas contas se encontram em segurança.
Nenhum comentário
Seja o primeiro!