Ataque Cibernético Afeta Extensões Legítimas do Chrome, Expondo Dados Sensíveis do Usuário

Um ciberataque coordenado comprometeu pelo menos cinco extensões do Google Chrome, injetando um código malicioso projetado para roubar informações sensíveis dos usuários, conforme relatado por Bleeping Computer.

A violação foi divulgada pela primeira vez em 24 de dezembro pela Cyberhaven, uma empresa de prevenção de perda de dados, que alertou seus clientes após um ataque de phishing ter como alvo com sucesso uma conta de administrador da Chrome Web Store.

Nossa equipe confirmou um ataque cibernético malicioso que ocorreu na véspera de Natal, afetando a extensão do Chrome do Cyberhaven. Aqui está nossa postagem sobre o incidente e as medidas que estamos tomando: https://t.co/VTBC73eWda

Nossa equipe de segurança está disponível 24/7 para auxiliar os clientes afetados e…

— Cyberhaven (@CyberhavenInc) 27 de dezembro de 2024

O Bleeping Computer explica que o ataque permitiu ao hacker sequestrar a conta do administrador e publicar uma versão maliciosa da extensão Cyberhaven. Esta versão incluía um código que poderia roubar sessões autenticadas e cookies, enviando-os para o domínio do atacante.

Entre os clientes da Cyberhaven afetados pela violação estão empresas de grande porte como Snowflake, Motorola, Canon, Reddit e Kirkland & Ellis. A equipe interna de segurança da Cyberhaven removeu a extensão maliciosa dentro de uma hora após a detecção, conforme relatado pelo Bleeping Computer.

A Cyberhaven atribui o ataque a um email de phishing, afirmando em uma análise técnica separada que o código parecia ser especificamente projetado para atingir contas de anúncios do Facebook.

TechCrunch observou que a Chrome Web Store lista aproximadamente 400.000 usuários corporativos para a extensão Cyberhaven. Quando o TechCrunch perguntou, a Cyberhaven se recusou a divulgar o número de clientes afetados que havia notificado sobre a violação.

Em resposta, uma versão limpa da extensão foi publicada em 26 de dezembro. A Cyberhaven aconselhou seus usuários a atualizarem para esta versão mais recente e a tomarem precauções adicionais, como verificar se a extensão foi atualizada para a versão 24.10.5 ou mais recente.

Além disso, a Cyberhaven aconselha a revogar e alterar quaisquer senhas que não utilizem FIDOv2, e a revisar os logs do seu navegador para qualquer atividade suspeita.

O Bleeping Computer observa que o incidente se estendeu além da extensão da Cyberhaven, com investigações adicionais revelando que várias outras extensões do Chrome também foram afetadas. O pesquisador de segurança da Nudge, Jaime Blasco, rastreou a origem do ataque analisando os endereços IP e os domínios do invasor.

Em relação ao comprometimento da extensão chrome do Cyberhaven, tenho razões para acreditar que há outras extensões afetadas. Pivotando pelo endereço IP, há mais domínios criados no mesmo intervalo de tempo resolvendo para o mesmo endereço IP que o cyberhavenext[.]pro (cont)

— Jaime Blasco (@jaimeblascob) 27 de dezembro de 2024

Blasco confirmou que o trecho de código malicioso foi injetado em várias extensões ao mesmo tempo, conforme relatado pelo Bleeping Computer.

Estes incluem o Internxt VPN, que tem 10.000 usuários, o VPNCity, um serviço de VPN focado na privacidade com 50.000 usuários, o Uvoice, um serviço baseado em recompensas com 40.000 usuários, e o ParrotTalks, uma ferramenta de anotações com 40.000 usuários.

O Bleeping Computer informa que, embora Blasco tenha identificado possíveis vítimas adicionais, apenas as extensões listadas acima foram confirmadas como contendo o código malicioso. Os usuários dessas extensões afetadas são aconselhados a removê-las ou garantir que atualizem para as versões seguras lançadas após 26 de dezembro.

Para aqueles que estão incertos sobre a segurança de suas extensões, é recomendado desinstalar as extensões afetadas, redefinir senhas importantes, limpar os dados do navegador e restaurar as configurações do navegador para seus padrões.