Uma campanha de ciberataque inseriu código malicioso em várias extensões do navegador Chrome desde meados de dezembro, informou a Reuters ontem. O código parecia ser projetado para roubar cookies do navegador e sessões de autenticação, visando “plataformas específicas de publicidade em redes sociais e IA”, de acordo com um post no blog da Cyberhaven, uma das empresas que foi alvo do ataque.
A Cyberhaven culpa um e-mail de phishing pelo ataque, escrevendo em uma análise técnica separada que o código parecia especificamente direcionado a contas de anúncios do Facebook. Segundo a Reuters, o pesquisador de segurança Jaime Blasco acredita que o ataque foi “apenas aleatório” e não direcionado especificamente à Cyberhaven. Ele postou no X que encontrou extensões de VPN e IA que continham o mesmo código malicioso que foi inserido na Cyberhaven.
Outras extensões possivelmente afetadas incluem Internxt VPN, VPNCity, Uvoice e ParrotTalks, conforme escreve o Bleeping Computer.
A Cyberhaven diz que hackers enviaram uma atualização (versão 24.10.4) de sua extensão de prevenção de perda de dados Cyberhaven contendo o código malicioso na véspera de Natal às 20h32 ET. A Cyberhaven afirma que descobriu o código em 25 de dezembro às 18h54 ET e o removeu em menos de uma hora, mas que o código estava ativo até 25 de dezembro às 21h50 ET. A empresa diz que lançou uma versão limpa em sua atualização 24.10.5.
As recomendações da Cyberhaven para empresas que podem ter sido afetadas incluem verificar seus logs em busca de atividades suspeitas e revogar ou girar quaisquer senhas que não utilizem o padrão de autenticação multifator FIDO2. Antes de publicar seus posts, a empresa notificou os clientes por meio de um e-mail que o TechCrunch relatou na manhã de sexta-feira.