En una reciente campaña de ‘phishing’ durante la Navidad, un ciberdelincuente logró instalar versiones maliciosas de extensiones legítimas para el navegador Chrome, afectando a Cyberhaven, una empresa de seguridad.
Cyberhaven, que ha creado una extensión de Chrome para aumentar la seguridad de sus usuarios, distribuyó temporalmente una versión alterada y vulnerable debido a esta campaña malintencionada.
La campaña de ‘phishing’ permitió a un ciberatacante implementar un código dañino en la extensión legítima durante la Navidad, comprometiendo a los usuarios que tenían habilitadas las actualizaciones automáticas en su navegador.
Un ataque de ‘phishing’ logró obtener las credenciales de un empleado de Cyberhaven para acceder a la tienda de extensiones de Chrome, lo que facilitó la subida de la versión maliciosa (v24.10.4).
El equipo de Cyberhaven notó el cambio y «retiró el paquete dañino en 60 minutos», según han confirmado en su blog oficial. Luego, alertaron a los usuarios, comenzando por los afectados, sobre el incidente y lanzaron una versión segura y actualizada (v24.10.5).
Además, Cyberhaven no fue la única afectada, como revela una investigación en curso. «Nuestros primeros hallazgos sugieren que el atacante apuntaba a cuentas de plataformas de inteligencia artificial y publicidad en redes sociales», indican.
Jaime Blasco, cofundador y CTO de Nudge Security, también ha identificado más extensiones comprometidas, basándose en el análisis de una dirección IP. Según expone en la red social X (antes Twitter), las extensiones ParrotTalks, Uvoice y VPNCity también están afectadas.
Regarding the Cyberhaven chrome extension compromise I have reasons to believe there are other extensions affected. Pivoting by the ip address there are more domains created within the same time range resolving to the same ip address as cyberhavenext[.]pro (cont)
— Jaime Blasco (@jaimeblascob) December 27, 2024