Bir tehdit aktörünün kullanıcılardan hassas bilgileri çalan kod enjekte ettiği koordineli bir saldırıda en az beş krom uzantısı tehlikeye atıldı.
Bir saldırı, Google Chrome mağazası için bir yönetici hesabına başarılı bir kimlik avı saldırısından sonra müşterilerini 24 Aralık'ta ihlal konusunda uyaran bir veri kaybı önleme şirketi olan Cyberhaven tarafından açıklandı.
Cyberhaven'ın müşterileri arasında Snowflake, Motorola, Canon, Reddit, Amerihalth, Cooley, IVP, Navan, DBS, Upstart ve Kirkland & Ellis var.
Hacker, çalışanın hesabını ele geçirdi ve Saldırganın alanına (CyberHaveNext [.] Pro) kimliği doğrulanmış oturumları ve çerezleri açıklayabilen kod içeren Cyberhaven uzantısının kötü niyetli bir sürümünü (24.10.4) yayınladı.
Cyberhaven'in iç güvenlik ekibi, tespit edilmesinden bu yana bir saat içinde kötü niyetli paketi kaldırdı, şirket müşterilerine bir e -posta ile.
Uzatmanın temiz bir versiyonu olan v24.10.5 26 Aralık'ta yayınlandı. En son sürüme yükseltilmenin yanı sıra, Fidov2 olmayan, tüm API tokenlerini gözden geçirmek ve tarayıcı günlüklerini gözden geçirmek için Cyberhaven Chrome uzantısının kullanıcıları önerilir. kötü niyetli aktiviteyi değerlendirmek için.
Cyberhaven'ın açıklamasının ardından, Budge Güvenlik Araştırmacısı Jaime Blasco, saldırganın IP adreslerinden ve kayıtlı alanlardan dönerek soruşturmayı daha da ileri götürdü.
Blasco'ya göre, uzantının saldırgandan komut almasına izin veren kötü amaçlı kod snippet'i de diğer krom uzantılarında aynı zamanda enjekte edildi:
Blasco, diğer potansiyel kurbanlara işaret eden daha fazla alan buldu, ancak sadece yukarıdaki uzantıların kötü niyetli kod snippet'ini taşıdığı doğrulandı.
Siber güvenlik araştırmacısı John Tuckner, kodlarına enjekte edilen aynı kötü niyetli snippet'e sahip ek bir ekstraj seti buldu.
Bunlar yer imi Favicon Changer, Castorus, Wayin AI, Arama Copilot AI Asistanı, Vidhelper, Vidnoz Flex, Tinamind, Primus, Ai Shop Buddy, en eski, kulaklık, chatgpt asistanı, klavye geçmiş kaydedici ve e -posta avcısı.
Veri çalma kodu tarafından enfekte olan ek uzantılar kümesi, toplu indirme sayısına sahiptir.
Ayrıca Google Meet, Rewards Searchorator, Tackker, Bard AI Chat ve Reader Modu için görsel efektler gibi ek uzlaşma vakaları da olmuştur, ancak bunlar Chrome'un web mağazasından kaldırılmıştır.
Bu uzantıların kullanıcılarının, yayıncının güvenlik sorununu öğrendiğinden ve düzelttikten sonra 26 Aralık'tan sonra yayınlanan güvenli bir sürüme yükseltilmesi veya düzeltilmesi önerilir.
Emin değilse, uzantıyı kaldırmak, önemli hesap şifrelerini sıfırlamak, tarayıcı verilerini temizlemek ve tarayıcı ayarlarını orijinal varsayılanlarına sıfırlamak daha iyidir.
Keep Fidan, kötü amaçlı kodun işlevselliği ve uzlaşmanın nasıl tespit edileceği hakkında daha fazla bilgi paylaştıkları bir yazı yayınladı.
Güncelleme 12/30 - Daha fazla uzantının tehlikeye atıldığı onaylandı ve kod hakkında daha fazla bilgiye bağlantı eklendi.
Yeni ayrıntılar, bilgisayar korsanlarının 35 Google Chrome uzantısını nasıl ele geçirdiğini ortaya koyuyor
Facebook'taki sahte Bitwarden reklamları, Info-Destekar Krom Uzantısı Push
Openai'nin yeni chatgpt arama krom uzantısı bir arama korsanı gibi geliyor
LastPass, müşteri verilerini çalmaya çalışan sahte destek merkezleri konusunda uyarıyor
ABD, 3 kurbandan 2,5 milyon dolarlık zorlu olan kar tanesi bilgisayar korsanlarını gösteriyor
Kaynak: Bleeping Computer