Según se informa, los piratas informáticos pudieron modificar varias extensiones de Chrome con código malicioso este mes después de obtener acceso a cuentas de administrador a través de una campaña de phishing. La empresa de ciberseguridad Cyberhaven compartió en un este fin de semana que su extensión de Chrome se vio comprometida el 24 de diciembre en un ataque que parecía estar «dirigido a los inicios de sesión en publicidad en redes sociales específicas y plataformas de inteligencia artificial». También se vieron afectadas algunas otras extensiones, que se remontan a mediados de diciembre, informó. Según Nudge Security eso incluye ParrotTalks, Uvoice y VPNCity.
Cyberhaven notificó a sus clientes el 26 de diciembre en un correo electrónico visto por que les recomendó revocar y rotar sus contraseñas y otras credenciales. La investigación inicial de la compañía sobre el incidente encontró que la extensión maliciosa estaba dirigida a los usuarios de anuncios de Facebook, con el objetivo de robar datos como tokens de acceso, ID de usuario y otra información de la cuenta, junto con cookies. El código también agregó un detector de clic del mouse. «Después de enviar con éxito todos los datos al servidor (Comando y Control), la identificación del usuario de Facebook se guarda en el almacenamiento del navegador», dijo Cyberhaven en su análisis. «Ese ID de usuario se utiliza luego en eventos de clic del mouse para ayudar a los atacantes con 2FA de su lado si fuera necesario».
Cyberhaven dijo que detectó la infracción por primera vez el 25 de diciembre y pudo eliminar la versión maliciosa de la extensión en una hora. Desde entonces, lanzó una versión limpia.
