Chrome güvenlik uzantısı kullanıcı verilerini çalmak için hacklendi

En az beş Chrome eklentisi, bir tehdit grubunun kullanıcılardan hassas bilgileri çalan bir kodu başarıyla enjekte ettiği koordineli bir saldırıda tehlikeye atıldı.

Bu bilgi Cyberhaven siber güvenlik uzmanlarının verdiği bilgidir. ABD merkezli veri güvenliği şirketi, 24 Aralık'ta Google Chrome Store'da şirketin yönetici hesabını hedef alan başarılı bir kimlik avı kampanyasının ardından gerçekleşen bir ihlal konusunda müşterilerini uyardı.

Cyberhaven'ın müşterileri arasında Snowflake, Motorola, Canon, Reddit, AmeriHealth, Cooley, IVP, Navan, DBS, Upstart ve Kirkland & Ellis gibi popüler markalar yer alıyor.

Bilgisayar korsanları çalışan hesaplarını ele geçirdi ve saldırganın etki alanına (cyberhavenext[.]pro) ait kimliği doğrulanmış oturumları ve çerezleri çalabilen bir kod içeren Cyberhaven uzantısının kötü amaçlı bir sürümünü (24.10.4) yayınladı.

Cyberhaven, müşterilerine gönderdiği e-postada, şirketin dahili güvenlik ekibinin kötü amaçlı yazılım paketini tespit ettikten bir saat sonra kaldırdığını belirtti.

Uzantının temiz sürümü 26 Aralık'ta yayınlanan v24.10.5'tir. Cyberhaven Chrome uzantısı kullanıcılarının en son sürüme yükseltmenin yanı sıra FIDOv2 olmayan parolaları iptal etmeleri, tüm API belirteçlerini değiştirmeleri ve kötü amaçlı etkinlik olup olmadığını değerlendirmek için tarayıcı günlüklerini incelemeleri önerilir.

Birçok Chrome uzantısı hacklendi

Cyberhaven'ın ifşasının ardından Nudge Security araştırmacısı Jaime Blasco, saldırganın IP adresi ve kayıtlı alan adından yönlendirerek daha derinlemesine bir soruşturma yürüttü.

Blasco'ya göre, uzantının saldırgandan komut almasını sağlayan kötü amaçlı kod aynı anda diğer Chrome uzantılarına da enjekte edildi:

• Internxt VPN – Güvenli web taraması için ücretsiz, şifreli, sınırsız VPN. (10.000 kullanıcı)
• VPNCity – 256-bit AES şifrelemesi ve küresel sunucu kapsamına sahip gizlilik odaklı VPN. (50.000 kullanıcı)
• Uvoice – Anketler yoluyla puan kazanmaya ve PC kullanım verileri sağlamaya yönelik ödül tabanlı hizmet. (40.000 kullanıcı)
• ParrotTalks – Kusursuz metin ve not alma konusunda uzmanlaşmış bilgi arama motoru. (40.000 kullanıcı)
• Blasco, birden fazla potansiyel kurbana işaret eden birden fazla alan adı buldu ancak şu ana kadar yalnızca yukarıdaki uzantıların kötü amaçlı kod içerdiği doğrulandı.

Bu eklentileri kullananlara, yayıncının güvenlik sorunundan haberdar olduğundan ve sorunu düzelttiğinden emin olduktan sonra, eklentileri derhal tarayıcılarından kaldırmaları veya 26 Aralık'tan sonra yayınlanan güvenli bir sürüme yükseltmeleri tavsiye ediliyor.

Emin değilseniz, eklentiyi kaldırmanız, önemli hesap parolalarını sıfırlamanız, tarayıcı verilerinizi temizlemeniz ve tarayıcı ayarlarınızı fabrika varsayılanlarına sıfırlamanız en iyisidir.