Extensión de seguridad de Chrome hackeada para robar datos de usuarios

Al menos cinco extensiones de Chrome se vieron comprometidas en un ataque coordinado, donde un actor de amenazas inyectó con éxito código que robó información confidencial de los usuarios.

Esta es la información proporcionada por los expertos en ciberseguridad de Cyberhaven. La empresa de seguridad de datos con sede en EE. UU. advirtió a sus clientes sobre una violación que ocurrió el 24 de diciembre, luego de una exitosa campaña de phishing dirigida a la cuenta de administrador de la compañía en Google Chrome Store.

Entre los clientes destacados de Cyberhaven se encuentran marcas populares como Snowflake, Motorola, Canon, Reddit, AmeriHealth, Cooley, IVP, Navan, DBS, Upstart y Kirkland & Ellis.

Los piratas informáticos se apoderaron de las cuentas de los empleados y lanzaron una versión maliciosa (24.10.4) de la extensión Cyberhaven, que incluía un código que podía robar sesiones autenticadas y cookies al dominio del atacante (cyberhavenext[.]pro).

El equipo de seguridad interna de Cyberhaven eliminó el paquete de malware una hora después de su detección, dijo la compañía en un correo electrónico a los clientes.

La versión limpia de la extensión es v24.10.5, lanzada el 26 de diciembre. Además de actualizar a la última versión, se recomienda a los usuarios de la extensión Cyberhaven para Chrome revocar las contraseñas que no sean FIDOv2, cambiar todos los tokens API y revisar los registros del navegador para detectar actividad maliciosa.

Muchas extensiones de Chrome han sido hackeadas

Tras la revelación de Cyberhaven, el investigador de Nudge Security, Jaime Blasco, realizó una investigación más profunda, redirigiendo desde la dirección IP del atacante y el nombre de dominio registrado.

Según Blasco, el código malicioso que permitía a la extensión recibir comandos del atacante también fue inyectado en otras extensiones de Chrome al mismo tiempo:

• Internxt VPN: VPN gratuita, cifrada e ilimitada para una navegación web segura. (10.000 usuarios)
• VPNCity: VPN centrada en la privacidad con cifrado AES de 256 bits y cobertura de servidor global. (50.000 usuarios)
• Uvoice – Servicio basado en recompensas para ganar puntos a través de encuestas y proporcionar datos de uso de PC. (40.000 usuarios)
• ParrotTalks – Motor de búsqueda de información especializado en la toma de notas y textos sin interrupciones. (40.000 usuarios)
• Blasco encontró múltiples dominios que apuntan a varias otras víctimas potenciales, pero hasta el momento solo se ha confirmado que las extensiones mencionadas anteriormente contienen código malicioso.

Se recomienda a los usuarios de estas extensiones que las eliminen inmediatamente de sus navegadores o las actualicen a una versión segura lanzada después del 26 de diciembre, después de asegurarse de que el editor esté al tanto del problema de seguridad y lo haya solucionado.

Si no está seguro, lo mejor es desinstalar la extensión, restablecer las contraseñas importantes de la cuenta, borrar los datos del navegador y restablecer la configuración del navegador a los valores predeterminados de fábrica.