Da alcuni giorni è in corso una vasta campagna di hacking contro diverse estensioni per Chrome. Una di esse viene sviluppata da Cyberhaven, startup californiana che offre servizi di “data loss prevention”. Il CEO Howard Ting ha pubblicato un post per fornire i dettagli sull’accaduto.
Phishing e furto di dati
L’attacco phishing è avvenuto il 24 dicembre. Un dipendente di Cyberhaven ha ricevuto un’email fasulla dal supporto per gli sviluppatori che distribuiscono le estensioni tramite Chrome Web Store. L’ignaro dipendente ha quindi cliccato sul link presente nel messaggio e inserito le sue credenziali in una pagina che autorizza l’accesso all’account Google da parte di un’app chiamata Privacy Policy Extension.
Sfruttando tale app, i cybercriminali hanno ottenuto il permesso di caricare la versione infetta 24.10.4 dell’estensione di Cyberhaven sul Chrome Web Store (approvata da Google). All’interno del codice c’erano due file JavaScript, ovvero la versione modificata di worker.js (presente anche nell’estensione legittima) che contattava il server C&C (command and control) e il nuovo content.js che raccoglieva i dati, tra cui cookie del browser e token di autenticazione (in particolare durante l’uso di Facebook).
Cyberhaven ha rimosso l’estensione infetta dal Chrome Web Store, informato tutti gli utenti e pubblicato la nuova versione 24.10.5. Non è noto il numero di utenti che hanno scaricato l’estensione infetta. L’azienda californiana suggerisce di cambiare tutte le password, se non viene utilizzata l’autenticazione multi-fattore FIDO2.
La stessa tecnica e gli stessi file JavaScript sono stati utilizzati per compromettere altre estensioni per Chrome, tra cui Internxt VPN, VPNCity, Uvoice e ParrotTalks.
Ti potrebbe interessare
29 dic 2024