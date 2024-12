Um novo ataque terá tido como alvo várias extensões do Chrome, comprometendo, pelo menos, mais 25 extensões e expondo os dados de mais de 600.000 utilizadores.

Conforme informámos, a primeira a ser vítima do ataque foi a empresa de cibersegurança Cyberhaven, quando um dos seus funcionários foi alvo de um ataque de phishing, no dia 24 de dezembro.

Este permitiu aos agentes da ameaça publicar uma versão maliciosa da extensão.

Cyberhaven foi a primeira vítima

Em 27 de dezembro, a Cyberhaven revelou que um agente comprometeu a sua extensão de browser e injetou código malicioso para comunicar com um servidor externo de comando e controlo (C&C) localizado no domínio cyberhavenext[.]pro, descarregar ficheiros de configuração adicionais e extrair dados do utilizador.

O e-mail de phishing, que supostamente provinha do Google Chrome Web Store Developer Support, procurava induzir um falso sentido de urgência, alegando que a extensão estava em risco de ser removida da loja de extensões, citando uma violação das Políticas do Programa para Programadores.

Além disso, pedia ao destinatário que clicasse num link para aceitar as políticas, após o que era redirecionado para uma página de concessão de permissões a uma aplicação OAuth maliciosa chamada "Privacy Policy Extension".

Desta forma, segundo a Cyberhaven, "o autor do ataque obteve as permissões necessárias através da aplicação maliciosa e carregou uma extensão maliciosa do Chrome para a Chrome Web Store; após o habitual processo de revisão de segurança da Chrome Web Store, a extensão maliciosa foi aprovada para publicação".

Extensões de browser "são o ponto fraco da segurança na Web"

Segundo Or Eshed, diretor-executivo da LayerX Security, especializada em segurança de extensões de browser, estas são "o ponto fraco da segurança na Web".

Embora tenhamos tendência para pensar que as extensões de browser são inofensivas, na prática, são-lhes frequentemente concedidas permissões extensivas a informações sensíveis do utilizador, tais como cookies, tokens de acesso, informações de identidade e muito mais. Muitas organizações nem sequer sabem quais as extensões que têm instaladas e não estão conscientes da dimensão da sua exposição.

Após a notícia da violação da Cyberhaven, uma investigação mais aprofundada revelou mais extensões que se suspeita terem sido comprometidas, de acordo com a plataforma de segurança de extensões de browser Secure Annex:

AI Assistant - ChatGPT and Gemini for Chrome

Bard AI Chat Extension

GPT 4 Summary with OpenAI

Search Copilot AI Assistant for Chrome

TinaMInd AI Assistant

Wayin AI

VPNCity

Internxt VPN

Vindoz Flex Video Recorder

VidHelper Video Downloader

Bookmark Favicon Changer

Castorus

Uvoice

Reader Mode

Parrot Talks

Primus

Tackker - online keylogger tool

AI Shop Buddy

Sort by Oldest

Rewards Search Automator

ChatGPT Assistant - Smart Search

Keyboard History Recorder

Email Hunter

Visual Effects for Google Meet

Earny - Up to 20% Cash Back

Esta lista de extensões comprometidas indica que a Cyberhaven não foi um alvo isolado, mas antes parte de um ataque em larga escala que visou extensões de browser legítimas.

Ao The Hacker News, John Tuckner, fundador da Secure Annex disse que existe a possibilidade de o ataque estar a ser conduzido desde 5 de abril de 2023, ou provavelmente ainda antes disso, com base nas datas de registo dos domínios usados: nagofsg[.]com foi registado em agosto de 2022 e sclpfybn[.]com foi registado em julho de 2021.

Ainda que as extensões sejam removidas da Chrome Web Store, "enquanto a versão comprometida da extensão ainda estiver ativa no endpoint, os hackers podem continuar a aceder-lhe e a extrair dados", segundo Or Eshed.

Os investigadores de segurança continuam a procurar outras extensões expostas, mas a sofisticação e o âmbito do ataque aumentaram a fasquia.

Neste momento, não é claro quem está por detrás do ataque.