El hackeo de extensiones de Google Chrome podría haber comenzado antes de lo que se pensaba.
Surgen nuevos detalles sobre la naturaleza del ataque a la extensión de Google Chrome.
Recientes investigaciones han revelado nuevos detalles sobre un ciberataque que afectó a la firma de seguridad Cyberhaven y diversas extensiones de Google Chrome. Se ha determinado que un complemento malicioso del navegador infectó a cerca de 400,000 usuarios con malware. Este ataque podría ser parte de una campaña más amplia, que aparentemente fue planificada desde marzo de 2024.
El análisis de BleepingComputer ha indicado que el código malicioso se inyectó en al menos 35 extensiones de Google Chrome, utilizadas por aproximadamente 2.6 millones de personas en todo el mundo. El ataque, que comenzó el 5 de diciembre, tuvo lugar más de dos semanas antes de lo que inicialmente se había sospechado. Sin embargo, se encontraron subdominios de comando y control que existían desde marzo de 2024.
Cyberhaven, la firma objetivo del ataque, es una startup que ofrece una extensión de Google Chrome diseñada para prevenir la pérdida de datos sensibles provenientes de plataformas no autorizadas, como Facebook o ChatGPT. La brecha de seguridad fue facilitada por un correo electrónico de phishing dirigido a un desarrollador, el cual se hacía pasar por una notificación de Google que alertaba al administrador sobre una posible violación de las políticas de la tienda de Chrome, sugiriendo la modificación de la extensión de la política de privacidad. Al aceptar, se otorgaron permisos a los atacantes, lo que les permitió acceder a la cuenta.
Una vez obtenido el acceso, se subió una versión maliciosa de la extensión que logró eludir las verificaciones de seguridad de Google, propagándose a 400,000 usuarios gracias a las actualizaciones automáticas de extensiones en Chrome. Los atacantes tenían como objetivo recopilar datos de Facebook de las víctimas a través de estas extensiones, utilizando dominios que habían sido registrados y probados en marzo de 2024, antes de crear un nuevo conjunto de dominios en noviembre y diciembre, justo antes del ataque.
Cyberhaven afirmó en un comunicado que el empleado siguió los procedimientos estándar y, desafortunadamente, autorizó la aplicación de terceros maliciosa. A pesar de que el empleado contaba con la Protección Avanzada de Google y autenticación de múltiples factores (MFA) habilitada, no recibió un aviso de MFA y sus credenciales de Google no fueron comprometidas.
