Berichten zufolge konnten Hacker diesen Monat mehrere Chrome-Erweiterungen mit bösartigem Code modifizieren, nachdem sie sich über eine Phishing-Kampagne Zugang zu Administratorkonten verschafft hatten. Das Cybersicherheitsunternehmen Cyberhaven gab in einem Blogeintrag am Wochenende bekannt, dass seine Chrome-Erweiterung am 24. Dezember bei einem Angriff kompromittiert wurde, der offenbar „auf Anmeldungen bei bestimmten Social-Media-Werbe- und KI-Plattformen abzielte“. Reuters berichtete, dass auch einige andere Erweiterungen betroffen waren, und zwar bereits Mitte Dezember. Laut Jaime Blasco von Nudge Security gehören dazu ParrotTalks, Uvoice und VPNCity.
Cyberhaven informierte seine Kunden am 26. Dezember in einer E-Mail, die von TechCrunch eingesehen wurde, und riet ihnen, ihre Passwörter und andere Zugangsdaten zu widerrufen und zu ändern. Die erste Untersuchung des Vorfalls durch das Unternehmen ergab, dass die bösartige Erweiterung auf Nutzer von Facebook-Werbeanzeigen abzielte, um Daten wie Zugangs-Tokens, Nutzer-IDs und andere Kontoinformationen zusammen mit Cookies zu stehlen. Der Code fügte auch einen Klick-Listener hinzu. „Nachdem alle Daten erfolgreich an den [Command & Control] Server gesendet wurden, wird die Facebook-Benutzerkennung im Speicher des Browsers gespeichert“, heißt es in der Analyse von Cyberhaven. “Diese Benutzerkennung wird dann bei Klickereignissen verwendet, um Angreifern mit 2FA auf ihrer Seite bei Bedarf zu helfen.
Cyberhaven gab an, die Lücke erstmals am 25. Dezember entdeckt zu haben und die bösartige Version der Erweiterung innerhalb einer Stunde entfernt zu haben. Inzwischen wurde eine saubere Version veröffentlicht.
