Piratas informáticos comprometem extensões populares do Google Chrome em ciberataque coordenado
Os piratas informáticos descobriram uma nova porta de entrada para os dados dos utilizadores, desta vez explorando as extensões do Google Chrome num ciberataque coordenado. Várias extensões populares, incluindo Internxt VPN, ParrotTalks, Uvoice e VPNCity, foram comprometidas por agentes maliciosos que injetaram código concebido para roubar informações sensíveis.
A Cyberhaven, uma empresa de prevenção de perda de dados, foi uma das vítimas, tendo detectado a violação a 24 de dezembro e trabalhado rapidamente para mitigar os danos.
A violação começou com uma campanha de phishing dirigida aos programadores de extensões do Chrome. De acordo com a Cyberhaven, um funcionário foi vítima de um e-mail de phishing convincente, confundindo-o com uma comunicação oficial da Google, e introduziu as suas credenciais de início de sessão numa página falsa. Munidos destas credenciais, os hackers enviaram uma versão atualizada da extensão Chrome da Cyberhaven, incorporando código malicioso, na véspera de Natal.
No dia de Natal, a extensão comprometida foi identificada e foi lançada uma correção no espaço de uma hora.
O investigador de segurança Jaime Blasco descobriu que outras extensões tinham sido comprometidas de forma semelhante, todas apresentando padrões de código malicioso que sugerem um esforço mais alargado e coordenado. O código injetado visava cookies do browser, tokens de autenticação e dados de sessão, permitindo aos atacantes obter acesso não autorizado a plataformas como o Facebook Ads e ferramentas de IA. A escala da violação é preocupante, dado o extenso alcance destas extensões, que servem coletivamente centenas de milhares de utilizadores.
Só a extensão comprometida da Cyberhaven tem mais de 400.000 utilizadores, de acordo com a sua listagem na Chrome Web Store. As extensões afetadas – cada uma com dezenas de milhares de downloads – validam os riscos associados aos add-ons do browser.
Em resposta ao ataque, a Cyberhaven não só corrigiu a extensão comprometida, como aconselhou os utilizadores a reverem os seus registos de atividade e a alterarem imediatamente as palavras-passe, como medida de precaução.
As autoridades federais estão agora envolvidas na investigação da violação, e a Cyberhaven está a colaborar com as autoridades policiais para compreender o âmbito total do ataque e para evitar incidentes semelhantes no futuro.