Güvenlik uzmanları, bilgisayar korsanlarının bu ay bir kimlik avı kampanyasıyla yönetici hesaplarına eriştikten sonra kötü amaçlı kodlarla birkaç Chrome uzantısını değiştirebildiklerini açıkladı. Siber güvenlik şirketi Cyberhaven tarafından hafta sonu paylaşılan bir blog yazısında, şirketin Chrome uzantısının 24 Aralık’ta “belirli sosyal medya reklamcılığı ve AI platformlarına girişleri hedef alan” bir saldırıyla tehlikeye atıldığı bildirildi.
Reuters’ın bildirdiğine göre, Aralık ortasına kadar uzanan zaman aralığında birkaç başka uzantı da bu saldırılardan etkilendi. Nudge Security’den Jaime Blasco’nun bildirdiğine göre, bu uzantıların arasında ParrotTalks, Uvoice ve VPNCity de bulunuyor.
Cyberhaven, 26 Aralık’ta gönderdiği bir e-postayla müşterilerini saldırı hakkında bilgilendirdi. Bu e-postada, kullanıcıların şifrelerini değiştirmeleri tavsiye edildi. Şirketin olayla ilgili ilk incelemesi, kötü amaçlı uzantının erişim belirteçleri, kullanıcı kimlikleri ve diğer hesap bilgileri gibi verileri ve çerezleri çalmak amacıyla Facebook Reklam kullanıcılarını hedef aldığını buldu. Ayrıca bu kod, fare tıklamalarını kaydeden bir eke daha sahipti. Cyberhaven’ın analizine göre, “Tüm veriler [Komuta ve Kontrol] sunucusuna başarıyla gönderildikten sonra, Facebook kullanıcı kimliği tarayıcı depolama alanına kaydedilir.”
“Bu kullanıcı kimliği daha sonra saldırganların ihtiyaç duymaları halinde kendi taraflarında 2FA’ya yardımcı olmak için fare tıklama olaylarında kullanılır.”
Cyberhaven, saldırıyı ilk olarak 25 Aralık’ta tespit ettiğini ve uzantının kötü amaçlı sürümünün bir saat içinde kaldırabildiğini söyledi. Sonrasında hızlı bir şekilde temiz bir sürüm yayınladı.