- Er zijn nieuwe details naar voren gekomen over de recente cyberaanval
- Een kwaadaardige Google Chrome-extensie zorgde ervoor dat 400.000 gebruikers besmet raakten met malware
- Aanvallers waren naar verluidt de campagne al in maart 2024 aan het plannen
De recente cyberaanval die beveiligingsbedrijf Cyberhaven trof en vervolgens had gevolgen voor een aantal Google Chrome-extensies kan onderdeel zijn geweest van een ‘bredere campagne’, zo beweert nieuw onderzoek.
A BleepingComputer Uit onderzoek bleek dat dezelfde code in ten minste 35 werd geïnjecteerd Googlen Chrome-extensies, die wereldwijd door ongeveer 2,6 miljoen gebruikers worden gebruikt. Dit leidde ertoe dat 400.000 apparaten via de CyberHaven-extensies werden geïnfecteerd met kwaadaardige code.
De campagne begon al op 5 december, ruim twee weken eerder dan aanvankelijk werd vermoed, hoewel er commando- en controle-subdomeinen zijn gevonden die teruggaan tot maart 2024.
Preventie van gegevensverlies
Ironisch genoeg is cyberbeveiligingsbedrijf Cyberhaven een startup die een Google Chrome-extensie biedt die bedoeld is om het verlies van gevoelige gegevens vanaf niet-goedgekeurde platforms, zoals Facebook of ChatGPT.
In dit specifieke geval was de aanval afkomstig van een phishing-e-mail tegen een ontwikkelaar, die zich voordeed als een Google-melding waarin de beheerder werd gewaarschuwd dat een extensie in strijd was met het beleid van de Chrome Web Store en het risico liep te worden verwijderd. De ontwikkelaar werd aangemoedigd om een ’Privacy Policy Extension‘ toe te staan, die vervolgens aanvallers toestemming gaf en toegang verleende.
Hierna werd een nieuwe kwaadaardige versie van de extensie geüpload, die de veiligheidscontroles van Google omzeilde, en werd verspreid onder ongeveer 400.000 gebruikers dankzij automatische extensie-updates in Chrome.
Er is nu ontdekt dat de aanvallers Facebook-gegevens van slachtoffers wilden verzamelen via de extensies, en domeinen die bij de aanval werden gebruikt, werden in maart 2024 geregistreerd en getest, voordat in november en december voorafgaand aan het incident een nieuwe set werd gemaakt.
„De medewerker volgde de standaardprocedure en autoriseerde per ongeluk deze kwaadaardige applicatie van derden“, zei Cyberhaven in een verklaring.
„De medewerker had Google Advanced Protection ingeschakeld en had MFA voor zijn account. De medewerker heeft geen MFA-prompt ontvangen. De Google-inloggegevens van de medewerker zijn niet aangetast.“
Misschien vind je het ook leuk
Source link
