Злоумышленники атаковали в Google Chrome несколько расширений и внедрили в них вредоносный код, цель — кража пользовательской информации и угон аккаунтов в Facebook* Ads. Такую находку обнаружили специалисты компании Cyberhaven, чье расширение также пострадало от мошеннической атаки.
*Принадлежит организации Meta, которая признана экстремистской и запрещена на территории РФ.
Специалисты выяснили, что вредоносный код предназначен для кражи персональной информации, такой как токены доступа, пользовательские ID, логины и пароли, а также cookie-файлы. Это ставит под угрозу пользователей Facebook* Ads и грозит им угоном аккаунтов.
В своем блоге представители Cyberhaven сообщили, что их собственное расширение в магазине Chrome было взломано в конце прошлого года. Также сообщается, что пострадали и другие расширения, такие как ParrotTalks, Uvoice и VPNCity.
24 декабря в результате фишинговой атаки были взломаны учетные данные сотрудника Cyberhaven для доступа к интернет-магазину Google Chrome. Затем злоумышленник использовал их для публикации вредоносной версии продукта.
Скорее всего, жертвами стали пользователи с автоматическим обновлением расширений в Chrome. Помимо данных авторизации, возможно, были украдены файлы cookie и сеансы входа на определенные сайты.
Взлом был обнаружен специалистами Cyberhaven на следующий день. В течение часа компания успела изъять последнюю версию расширения и вернуть незараженный вариант.
Также напомним, что недавно специалисты по кибербезопасности обнаружили в Google Chrome вредоносные расширения, принадлежащие трем разным мошенническим группировкам. Они могли шпионить за пользователями, открывать рекламу в новых вкладках и воровать историю поиска.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
