- Han surgido nuevos detalles sobre un reciente ciberataque
- La extensión maliciosa de Google Chrome infecta a 400.000 usuarios con malware
- Según los informes, los atacantes planearon la campaña ya en marzo de 2024.
El último ciberataque que afectó a la empresa de seguridad Cyberhaven y luego afectó a varias extensiones de Google Chrome puede ser parte de una “campaña más amplia”, según afirma una nueva investigación.
A pitidocomputadora Una investigación reveló que se inyectó el mismo código en al menos 35 extensiones de Google Chrome, que utilizan alrededor de 2,6 millones de usuarios en todo el mundo. Esto provocó que 400.000 dispositivos se infectaran con código malicioso a través de extensiones CyberHaven.
La campaña comenzó el 5 de diciembre, más de dos semanas antes de lo que se sospechaba inicialmente, aunque se encontraron subdominios de comando y control hasta marzo de 2024.
prevención de pérdida de datos
Irónicamente, la empresa de seguridad cibernética Cyberhaven es una startup que proporciona una extensión de Google Chrome cuyo objetivo es evitar la pérdida de datos confidenciales de plataformas no aprobadas, como Facebook o ChatGPT.
En este caso particular, el ataque se originó a partir de un correo electrónico de phishing contra un desarrollador, que estaba disfrazado de una alerta de Google que alertaba al administrador de que una extensión violaba la política de Chrome Web Store y podía eliminarse. Se alentó al desarrollador a habilitar la ‘Extensión de la política de privacidad’. ‘, que luego otorgó permisos a los atacantes y permitió el acceso.
Luego, se subió una nueva versión maliciosa de la extensión, que eludió los controles de seguridad de Google y se propagó a unos 400.000 usuarios gracias a las actualizaciones automáticas de la extensión de Chrome.
Ahora se ha descubierto que los atacantes pretendían recopilar datos de Facebook de las víctimas utilizando las extensiones, y los dominios utilizados en el ataque se registraron y verificaron ya en marzo de 2024, antes de que se creara un nuevo sistema en noviembre y diciembre antes del incidente.
“El empleado siguió el flujo estándar y sin darse cuenta aprobó esta aplicación maliciosa de terceros”, dijo Cyberhaven en un comunicado.
“El empleado activó la protección avanzada de Google y MFA cubre su cuenta. El empleado no recibió un mensaje de MFA. Las credenciales de Google del empleado no se vieron comprometidas”.
