Хакери здійснили кібератаку на низку розширень для Google Chrome, серед яких Cyberhaven, ParrotTalks, Uvoice і VPNCity із метою викрадення даних користувачів соцмережі Facebook.
Головні тези:
- Хакери здійснили кібератаку на низку розширень для Google Chrome, в результаті чого були вкрадені дані користувачів, зокрема соцмережі Facebook.
- Компанія Cyberhaven виявила шкідливий код у розширеннях Google Chrome та вжила заходів для забезпечення безпеки користувачів.
- Після кібератаки рекомендується змінити паролі в облікових записах та встановити оновлені версії розширень Google Chrome для уникнення подібних проблем у майбутньому.
- Кіберфахівці зазначили, що хакери спрямовували свою атаку на користувачів Facebook з метою викрадення даних про токени доступу та іншої конфіденційної інформації.
- Серед інших постраждалих розширень також були ті, що пов'язані з штучним інтелектом та віртуальними приватними мережами; американська CISA досліджує цей випадок та переадресовує питання компаніям-розробникам.
Що відомо про кібератаку на розширення для Google Chrome
Зазначається, що однією з жертв кіберзлочинців стала компанія з кібербезпеки Cyberhaven. Хакерам вдалось за допомогою фішингової розсилки змінити кілька розширень Google Chrome, додавши у них шкідливий код.
Зокрема, вони отримали доступ до облікових записів адміністратора.
У Cyberhaven провели власне розслідування і дізнались, що всі розширення Google Chrome були інфіковані, починаючи з середини грудня.
Постраждали такі розширення, як ParrotTalks, Uvoice і VPNCity.
Вже 26 грудня представники Cyberhaven звернулись до всіх користувачів із проханням змінити паролі у облікових записах.
Було з’ясовано, що таємно доданий шкідливий код був спрямований проти користувачів Facebook, включаючи рекламну платформу соцмережі.
Метою було викрадення даних про токени доступу, ідентифікаторів користувачів та іншої інформації, включно з файлами cookie.
Код також дозволяв відслідковувати кліки миші.
Після успішної відправки всіх даних на сервер ідентифікатор користувача Facebook зберігається в пам'яті браузера. Цей ідентифікатор користувача потім використовується в подіях клацання мишею, щоб допомогти зловмисникам з двофакторною автентифікацією на їхньому боці, якщо це було необхідно, — пояснюють кіберфахівці Cyberhaven.
У компанії зазначили, що вперше виявили атаку 26 грудня і одразу видалили шкідливу версію розширення.
З того часу компанія випустила оновлену чисту версію, яку вже можна встановити без остраху. Але чи зробили це інші розробники, наразі невідомо.
Хто ще постраждав від кібератаки зловмисників
Серед інших постраждалих є розширення, пов'язані зі штучним інтелектом і віртуальними приватними мережами.
Американська організація з нагляду за кібербезпекою CISA "переадресувала питання причетним компаніям", але про їхню реакцію нічого не згадується. Імовірно, вони також внесуть зміни в свої продукти.
