Chrome-beveiligingsextensie gehackt om gebruikersgegevens te stelen

Minstens vijf Chrome-extensies zijn gecompromitteerd bij een gecoördineerde aanval, waarbij een kwaadwillende actor met succes code heeft geïnjecteerd waarmee gevoelige informatie van gebruikers is gestolen.

Dit is de informatie van de cybersecurity-experts van Cyberhaven. Het Amerikaanse bedrijf voor gegevensbeveiliging waarschuwde zijn klanten voor een inbreuk die op 24 december plaatsvond, na een succesvolle phishingcampagne die gericht was op het beheerdersaccount van het bedrijf in de Google Chrome Store.

Bekende merken onder de klanten van Cyberhaven zijn onder meer Snowflake, Motorola, Canon, Reddit, AmeriHealth, Cooley, IVP, Navan, DBS, Upstart en Kirkland & Ellis.

Hackers namen accounts van medewerkers over en brachten een schadelijke versie (24.10.4) van de Cyberhaven-extensie uit, die code bevatte waarmee geverifieerde sessies en cookies naar het domein van de aanvaller (cyberhavenext[.]pro) konden worden gestolen.

Het interne beveiligingsteam van Cyberhaven verwijderde het malwarepakket binnen een uur na ontdekking, zo liet het bedrijf weten in een e-mail aan klanten.

De schone versie van de extensie is v24.10.5, die op 26 december is uitgebracht. Naast het upgraden naar de nieuwste versie, wordt gebruikers van de Cyberhaven Chrome-extensie aangeraden om niet-FIDOv2-wachtwoorden in te trekken, alle API-tokens te wijzigen en browserlogboeken te controleren op schadelijke activiteiten.

Veel Chrome-extensies zijn gehackt

Na de onthullingen van Cyberhaven voerde Nudge Security-onderzoeker Jaime Blasco een diepgaander onderzoek uit, waarbij hij de gegevens omleidde naar het IP-adres en de geregistreerde domeinnaam van de aanvaller.

Volgens Blasco werd de schadelijke code waarmee de extensie opdrachten van de aanvaller kon ontvangen, tegelijkertijd ook in andere Chrome-extensies geïnjecteerd:

• Internxt VPN – Gratis, gecodeerde, onbeperkte VPN voor veilig surfen op het web. (10.000 gebruikers)
• VPNCity – Privacygerichte VPN met 256-bits AES-encryptie en wereldwijde serverdekking. (50.000 gebruikers)
• Uvoice – Een op beloningen gebaseerde service waarmee u punten kunt verdienen via enquêtes en gegevens over uw pc-gebruik kunt verstrekken. (40.000 gebruikers)
• ParrotTalks – Informatiezoekmachine gespecialiseerd in het naadloos maken van tekst en notities. (40.000 gebruikers)
• Blasco vond meerdere domeinen die naar verschillende andere potentiële slachtoffers verwezen, maar tot nu toe is alleen bevestigd dat de hierboven genoemde extensies schadelijke code bevatten.

Gebruikers van deze extensies wordt geadviseerd deze onmiddellijk uit hun browser te verwijderen of te upgraden naar een veilige versie die na 26 december is uitgebracht. Controleer eerst of de uitgever op de hoogte is van het beveiligingsprobleem en dit heeft opgelost.

Als u het niet zeker weet, kunt u het beste de extensie verwijderen, belangrijke wachtwoorden opnieuw instellen, uw browsergegevens wissen en de browserinstellingen terugzetten naar de fabrieksinstellingen.