Es noticia
Ibex 35iPhone 17TeslaLGSamsungJugador 100Cupra

El malware inyectado en extensiones de Chrome puede haber afectado a 2.6 millones de usuarios

TecnologíaCiberseguridad

El malware inyectado en extensiones de Chrome puede haber afectado a 2.6 millones de usuarios

Un ciberataque masivo afecta a Cyberhaven y 35 extensiones de Google Chrome han generado una exposición que podría llegar a alcanzar los 2,6 millones de usuarios..

Carlos D.
Publicado: 02-01-2025 21:30
Descripción

Un reciente ciberataque ha afectado a la firma de seguridad Cyberhaven y a varias extensiones de Google Chrome, lo que podría formar parte de una campaña más amplia. Según una investigación realizada por BleepingComputer, se encontró que el mismo código malicioso fue inyectado en al menos 35 extensiones de Google Chrome, utilizadas por aproximadamente 2.6 millones de usuarios en todo el mundo. Como resultado, aproximadamente 400,000 dispositivos se vieron infectados por el código malicioso a través de las extensiones de Cyberhaven.

El ataque se inició antes de lo que se había sospechado, comenzando tan pronto como el 5 de diciembre. Además, se han descubierto subdominios de comando y control que datan de marzo de 2024. Irónicamente, Cyberhaven es una startup que proporciona una extensión de Chrome diseñada para prevenir la pérdida de datos sensibles en plataformas no aprobadas, como Facebook o ChatGPT.

Este ataque se originó en un correo electrónico de phishing dirigido a un desarrollador, en el cual se hacía pasar por una notificación de Google alertando al administrador que una extensión estaba incumpliendo las políticas de la tienda y que corría el riesgo de ser eliminada. Al hacerlo, se alentó al desarrollador a permitir una 'Extensión de Política de Privacidad', lo que otorgó a los atacantes los permisos necesarios para acceder al sistema.

Una vez logrado esto, se subió una nueva versión maliciosa de la extensión, que logró eludir los controles de seguridad de Google, propagándose automáticamente a los usuarios afectados gracias a las actualizaciones automáticas de Chrome. Se ha revelado que los atacantes buscaban recopilar datos de Facebook de las víctimas a través de las extensiones comprometidas. Los dominios utilizados en el ataque fueron registrados y probados ya en marzo de 2024, antes de que se creara un nuevo conjunto en noviembre y diciembre, justo antes de este incidente.

Cyberhaven ha declarado que el empleado en cuestión siguió el flujo estándar y, sin querer, autorizó esta aplicación de terceros maliciosa. A pesar de que el empleado contaba con la Protección Avanzada de Google y la autenticación en dos pasos cubriendo su cuenta, no recibió un aviso de MFA, lo que facilitó la acción de los atacantes. Importante destacar que las credenciales de Google del empleado no fueron comprometidas.