sicurezza informatica

Scoperta allarmante: Estensioni Chrome rubano dati sensibili a milioni di utenti

By UpGRD.it , 04/01/2025

Scoperta allarmante nel Chrome Web Store

Durante le festività di fine anno, un gruppo di ricercatori ha fatto una scoperta sorprendente: almeno 33 estensioni del browser ospitate nel Chrome Web Store di Google, alcune attive da ben 18 mesi, stavano sottraendo dati sensibili da circa 2,6 milioni di dispositivi.

La rivelazione di Cyberhaven

La situazione è emersa grazie al servizio di prevenzione della perdita di dati Cyberhaven, che ha identificato un'estensione di Chrome utilizzata da 400.000 dei suoi clienti, aggiornata con codice malevolo per rubare informazioni sensibili.

Dettagli sull'estensione malevola

L'estensione dannosa, identificata come versione 24.10.4, è stata disponibile per 31 ore, dal 25 dicembre alle 2:32 AM UTC fino al 26 dicembre alle 3:50 AM UTC. Durante questo intervallo, i browser Chrome che eseguivano Cyberhaven avrebbero automaticamente scaricato e installato il codice malevolo. In risposta, Cyberhaven ha rilasciato le versioni 24.10.5 e 24.10.6 nei giorni successivi.

Funzione dell'estensione Cyberhaven

L'estensione di Cyberhaven è progettata per impedire agli utenti di inserire involontariamente dati sensibili in email o siti web visitati. Analisi della versione 24.10.4 hanno rivelato che era configurata per lavorare con diversi payload scaricati da un sito malevolo registrato, cyberhavenext[.]pro, creato per apparire affiliato con l'azienda. Uno dei payload recuperati ha cercato cookie del browser e credenziali di autenticazione per il dominio facebook.com. Un altro payload, recuperato dalla società di sicurezza Secure Annex, ha tentato di rubare cookie e credenziali per chatgpt.com, anche se Cyberhaven ha affermato che questo payload non sembrava funzionante.

L'attacco tramite phishing

La versione malevola è stata introdotta tramite un'email di spear phishing inviata agli sviluppatori elencati da Google per l'estensione Cyberhaven la vigilia di Natale. L'email avvertiva che l'estensione non era conforme ai termini di Google e sarebbe stata revocata se il sviluppatore non avesse preso immediati provvedimenti.

Scoperta allarmante: Estensioni Chrome rubano dati sensibili a milioni di utenti

FAQ

Cosa è stato scoperto nel Chrome Web Store?

È stata scoperta la presenza di almeno 33 estensioni del browser che sottraevano dati sensibili da circa 2,6 milioni di dispositivi.

Chi ha rivelato la situazione delle estensioni malevole?

La situazione è emersa grazie al servizio di prevenzione della perdita di dati Cyberhaven.

Qual è stata la durata dell'estensione malevola identificata?

L'estensione malevola è stata disponibile per 31 ore, dal 25 dicembre alle 2:32 AM UTC fino al 26 dicembre alle 3:50 AM UTC.

Quali dati cercava di rubare l'estensione malevola?

L'estensione cercava di rubare cookie del browser e credenziali di autenticazione, in particolare per domini come facebook.com e chatgpt.com.

Come è stata introdotta l'estensione malevola?

È stata introdotta tramite un'email di spear phishing inviata agli sviluppatori dell'estensione Cyberhaven la vigilia di Natale.

Quali misure ha preso Cyberhaven dopo la scoperta dell'estensione malevola?

Cyberhaven ha rilasciato le versioni 24.10.5 e 24.10.6 dell'estensione nei giorni successivi per correggere il problema.

Qual era l'obiettivo dell'estensione di Cyberhaven?

L'estensione di Cyberhaven era progettata per impedire agli utenti di inserire involontariamente dati sensibili in email o siti web visitati.

Cosa ha rivelato l'analisi della versione 24.10.4 dell'estensione?

L'analisi ha rivelato che era configurata per lavorare con payload scaricati da un sito malevolo, apparente affiliato con Cyberhaven.

Qual è il nome del sito malevolo associato all'estensione?

Il sito malevolo è registrato come cyberhavenext[.]pro.

Quali sono le conseguenze per gli utenti che hanno utilizzato l'estensione malevola?

Gli utenti che hanno utilizzato l'estensione malevola potrebbero aver esposto i loro dati sensibili, come cookie e credenziali di accesso, a potenziali attaccanti.