Tiện ích bảo mật trên Chrome bị hack để đánh cắp dữ liệu người dùng

Ít nhất năm tiện ích mở rộng Chrome đã bị xâm phạm trong một cuộc tấn công phối hợp, khi một tác nhân đe dọa đã chèn thành công mã đánh cắp thông tin nhạy cảm từ người dùng.

Đây là thông tin được nêu ra bởi các chuyên gia an ninh mạng tại Cyberhaven. Công ty bảo mật dữ liệu có trụ sở tại Hoa Kỳ này đã cảnh báo khách hàng của mình về một vụ vi phạm xảy ra vào ngày 24 tháng 12, sau một chiến dịch tấn công lừa đảo thành công vào tài khoản quản trị viên của công ty trên Google Chrome Store.

Nổi bật trong số các khách hàng của Cyberhaven có những thương hiệu phổ biến như Snowflake, Motorola, Canon, Reddit, AmeriHealth, Cooley, IVP, Navan, DBS, Upstart và Kirkland & Ellis.

Tin tặc đã chiếm đoạt tài khoản của nhân viên và phát hành phiên bản độc hại (24.10.4) của tiện ích mở rộng Cyberhaven, bao gồm mã có thể đánh cắp các phiên xác thực và cookie vào tên miền của kẻ tấn công (cyberhavenext[.]pro).

Nhóm an ninh nội bộ của Cyberhaven đã xóa gói phần mềm độc hại này trong vòng một giờ kể từ khi phát hiện, công ty cho biết trong email gửi cho khách hàng.

Phiên bản sạch của tiện ích mở rộng là v24.10.5 đã được phát hành vào ngày 26 tháng 12. Ngoài việc nâng cấp lên phiên bản mới nhất, người dùng tiện ích mở rộng Cyberhaven Chrome được khuyến nghị thu hồi mật khẩu không phải là FIDOv2, thay đổi tất cả mã thông báo API và xem lại nhật ký trình duyệt để đánh giá hoạt động độc hại.

Nhiều tiện ích mở rộng của Chrome đã bị hack

Sau tiết lộ của Cyberhaven, nhà nghiên cứu Jaime Blasco của Nudge Security đã tiến hành điều tra sâu hơn, chuyển hướng từ địa chỉ IP và tên miền đã đăng ký của kẻ tấn công.

Theo Blasco, đoạn mã độc hại cho phép tiện ích mở rộng nhận lệnh từ kẻ tấn công cũng được đưa vào cùng thời điểm trong các tiện ích mở rộng khác của Chrome:

  • Internxt VPN – VPN miễn phí, được mã hóa, không giới hạn để duyệt web an toàn. (10.000 người dùng)
  • VPNCity – VPN tập trung vào quyền riêng tư với mã hóa AES 256-bit và phạm vi phủ sóng máy chủ toàn cầu. (50.000 người dùng)
  • Uvoice – Dịch vụ dựa trên phần thưởng để kiếm điểm thông qua khảo sát và cung cấp dữ liệu sử dụng PC. (40.000 người dùng)
  • ParrotTalks – Công cụ tìm kiếm thông tin chuyên về văn bản và ghi chú liền mạch. (40.000 người dùng)
  • Blasco đã tìm thấy nhiều tên miền trỏ đến một số nạn nhân tiềm năng khác, nhưng hiện chỉ có các tiện ích mở rộng ở trên được xác nhận là có chứa đoạn mã độc hại.

Người dùng các tiện ích mở rộng này được khuyến nghị lập tức xóa chúng khỏi trình duyệt hoặc nâng cấp lên phiên bản an toàn được phát hành sau ngày 26 tháng 12, sau khi đảm bảo rằng nhà phát hành đã biết về sự cố bảo mật và đã khắc phục.

Nếu bạn không chắc chắn, tốt hơn hết là gỡ cài đặt tiện ích mở rộng, đặt lại mật khẩu tài khoản quan trọng, xóa dữ liệu trình duyệt và đặt lại cài đặt trình duyệt về mặc định ban đầu.

Thứ Bảy, 28/12/2024 11:55
31 👨 183
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng