Uma campanha de phishing direcionada a desenvolvedores de extensões do navegador Chrome resultou no comprometimento de pelo menos 35 extensões populares, alcançando mais de 2,6 milhões de usuários. Dentre as extensões afetadas, destaca-se uma pertencente à empresa de cibersegurança Cyberhaven.
As investigações apontam que o ataque começou oficialmente em dezembro de 2024, mas subdomínios relacionados à campanha já estavam ativos desde março do mesmo ano.
Método de ataque: Phishing e OAuth malicioso
O ataque teve início com e-mails de phishing que se passavam por notificações do Google, alegando supostas violações das políticas da Chrome Web Store. Esses e-mails utilizavam domínios enganosos, como:
- supportchromestore.com
- forextensions.com
- chromeforextension.com
Os desenvolvedores que clicavam nos links eram redirecionados para uma página de login legítima do Google. No entanto, essa página estava vinculada a um aplicativo OAuth malicioso chamado “Extensão de Política de Privacidade”, que solicitava permissões amplas, incluindo gerenciar extensões da Chrome Web Store.
Mesmo com autenticação multifator (MFA) ativada, os invasores conseguiram contornar essa proteção, pois o fluxo de autorização OAuth não exige validação adicional após o consentimento inicial.
Modificações nas extensões e roubo de dados
Depois de obter acesso às contas dos desenvolvedores, os hackers adicionaram arquivos maliciosos às extensões comprometidas, como worker.js e content.js. Esses scripts foram projetados para roubar informações relacionadas a contas comerciais do Facebook, incluindo:
Notícias Relacionadas
Segurança cibernética
Falhas críticas de segurança corrigidas no Microsoft Dynamics 365 e Power Apps
Três falhas de segurança no Microsoft Dynamics 365 e Power Apps foram corrigidas, expondo dados sensíveis. Detalhes sobre vulnerabilidades que permitiam acesso não autorizado a informações confidenciais.
Segurança online
16 extensões do Chrome hackeadas, comprometendo dados de mais de 600.000 usuários
Mais de 600.000 usuários foram afetados por um ataque que comprometeu 16 extensões populares do Chrome, expondo dados e credenciais. Saiba como a segurança de extensões pode ser vulnerável.
- IDs e tokens de acesso do Facebook
- Informações de contas de anúncios e comerciais
- Cookies e eventos de interação do usuário na plataforma
O código malicioso também monitorava cliques em imagens de QR Code no Facebook, visando contornar mecanismos de autenticação de dois fatores (2FA) e CAPTCHA.
Objetivos dos cibercriminosos
As informações roubadas foram utilizadas para:
- Sequestrar contas comerciais do Facebook e realizar pagamentos com créditos das vítimas.
- Executar campanhas de desinformação ou phishing diretamente na plataforma.
- Vender acessos a terceiros, monetizando as contas invadidas.
Como se proteger
Para evitar ser vítima de ataques semelhantes, siga estas recomendações:
- Verifique cuidadosamente os remetentes de e-mails, especialmente ao tratar de solicitações relacionadas a políticas ou segurança.
- Não clique em links suspeitos sem verificar sua autenticidade.
- Utilize autenticação multifator sempre que possível, mas esteja atento ao escopo de permissões solicitadas em aplicativos de terceiros.
- Mantenha suas extensões e aplicativos atualizados apenas por meio de fontes oficiais e confiáveis.
A campanha de phishing demonstra como mesmo ferramentas amplamente utilizadas podem ser vulneráveis a ataques sofisticados. Desenvolvedores e usuários devem redobrar a atenção para evitar prejuízos pessoais e comerciais.
