Hackerlar bu ay düzenledikleri bir kimlik avı kampanyası ile yönetici hesaplarına erişim sağladıktan sonra, bazı Chrome uzantılarını kötü amaçlı kodlarla değiştirebildikleri bildirildi.
Siber güvenlik şirketi Cyberhaven, bu hafta sonu yayınladığı bir blog yazısında, 24 Aralık’ta “belirli sosyal medya reklamcılığı ve yapay zeka platformlarına girişleri hedef alan” bir saldırıda bir Chrome uzantısının tehlikeye atıldığını duyurdu.
Aralık ortasına kadar uzanan birkaç başka uzantının da etkilendiği Reuters tarafından bildirildi. Nudge Security’den Jaime Blasco’nun raporuna göre, bu uzantılar arasında ParrotTalks, Uvoice ve VPNCity de bulunuyor.
Cyberhaven, 26 Aralık’ta müşterilerini bir e-posta ile bilgilendirerek, şifrelerini ve diğer kimlik bilgilerini değiştirmelerini tavsiye etti. Şirketin olayla ilgili ilk incelemesi, kötü amaçlı uzantının erişim belirteçleri, kullanıcı kimlikleri ve diğer hesap bilgilerini çalmak amacıyla Facebook Reklam kullanıcılarını hedef aldığını ortaya koydu. Kötü amaçlı kod, ayrıca bir fare tıklama dinleyicisi ekledi.
Cyberhaven’in analizine göre, “Tüm veriler [Komuta ve Kontrol] sunucusuna başarıyla gönderildikten sonra, Facebook kullanıcı kimliği tarayıcı depolama alanına kaydedilir,” denildi. “Bu kullanıcı kimliği, saldırganların ihtiyaç duymaları halinde kendi taraflarında iki faktörlü kimlik doğrulama (2FA) işlemlerine yardımcı olmak için fare tıklama olaylarında kullanılır.”
Cyberhaven, ihlali ilk olarak 25 Aralık’ta tespit ettiğini ve uzantının kötü amaçlı sürümünü bir saat içinde kaldırabildiğini belirtti. O zamandan beri temiz bir sürüm yayınladı.