Cyberhaven, una reconocida empresa de ciberseguridad, ha hecho públicos los detalles de una campaña de ciberataques (del que ha sido una de las principales víctimas) y que ha afectado diversas extensiones del navegador Google Chrome. Todo comenzó la víspera del día de Navidad, cuando los hackers lograron acceder a las credenciales de un empleado de la compañía recurriendo a técnicas de phishing.
Una vez contaron con acceso a la cuenta de administrador de la Google Chrome Web Store, los atacantes publicaron una versión maliciosa de la extensión de Cyberhaven (versión 24.10.4)... pero también de extensiones de otras compañías, como ParrotTalks, Uvoice y VPNCity.
Irónicamente, la extensión de Cyberhaven está diseñada para proporcionar a los usuarios una capa adicional de seguridad mientras navegan, gestionando permisos de aplicaciones y monitorizando actividades sospechosas en tiempo real. La de VPNCity, por su parte, ofrece servicios de VPN, que pretenden encriptar el contenido de las conexiones entre el navegador y el exterior... una función que se va al traste si la extensión queda comprometida.
Las consecuencias
El código malicioso diseñado por los atacantes tenía como objetivo principal las plataformas de publicidad en redes sociales: según el análisis inicial, el malware podía exfiltrar cookies y sesiones autenticadas de sitios web específicos, especialmente aquellos relacionados con Facebook Ads, apuntando a robar tokens de acceso, identificadores de usuario e información de cuentas.
El alcance del incidente, sin embargo, fue limitado en tiempo y magnitud: al menos en el caso de Cyberhaven (la única de las compañías afectadas que han dado detalles sobre lo ocurrido), sólo se vio afectada una versión de su extensión, que estuvo activa para los usuarios (actualizándose automáticamente) entre las 1:32 AM UTC del 25 de diciembre y las 2:50 AM UTC del 26 de diciembre.
Inmediatamente, se publicó y difundió una versión limpia (la 24.10.5) de la extensión. Igualmente, ha iniciado una "revisión exhaustiva" de sus prácticas de seguridad y planea implementar salvaguardas adicionales basadas en los hallazgos de la investigación.
Acciones recomendadas para los usuarios
Cyberhaven ha instado a sus clientes a tomar las siguientes medidas si estaban utilizando la versión comprometida de la extensión durante el periodo afectado:
- Actualizar la extensión: Asegurarse de que la extensión esté actualizada a la versión 24.10.5 o superior.
- Rotar contraseñas: Revocar y cambiar todas las contraseñas que no utilicen el estándar FIDOv2 (es decir, cualquiera que no use métodos biométricos o claves criptográficas únicas almacenadas en dispositivos físicos.
- Revisar actividades sospechosas: Analizar los registros de actividad en busca de comportamientos inusuales.
Imagen | Marcos Merino mediante IA
En Genbeta | Ha llegado el día: ya no podemos instalar uBlock en Google Chrome. Pero hay una forma de seguir usándola
Ver 2 comentarios