Un nuovo attacco hacker ha messo in allarme il mondo della sicurezza digitale. Diversi account e dati sensibili sono stati compromessi a causa di un attacco sofisticato che ha preso di mira estensioni popolari del browser Chrome. L’incidente, scoperto nelle ultime settimane di dicembre 2024, ha evidenziato vulnerabilità nel sistema di protezione delle estensioni del browser più utilizzato al mondo.
L’allarme riguarda dunque tantissimi utenti che ogni giorno si servono del browser più famoso al mondo. Bisogna fare molta attenzione.
L’origine dell’attacco hacker a Chrome
La società di cybersicurezza Cyberhaven è stata tra le prime a rilevare l’attacco, segnalando il coinvolgimento della propria estensione il 24 dicembre. Gli hacker sono riusciti a violare gli account amministrativi attraverso una campagna di phishing ben pianificata, ottenendo accesso a piattaforme di advertising e intelligenza artificiale.
Il codice malevolo introdotto nelle estensioni compromesse aveva un obiettivo specifico: rubare token di accesso, ID utente e altre informazioni sensibili degli account Facebook Ads. Questo attacco mirato consentiva agli hacker di intercettare dati utili per manovre più ampie.
Le estensioni compromesse e come agisce l’attacco
L’attacco non ha colpito solo Cyberhaven. Altre estensioni popolari, come ParrotTalks, Uvoice e VPNCity, sono state violate già a partire dalla metà di dicembre, secondo quanto riportato da Reuters. Il malware utilizzato era particolarmente subdolo, capace di:
- Monitorare i click del mouse degli utenti, sfruttando i dati per aggirare eventuali sistemi di autenticazione a due fattori (2FA);
- Memorizzare l’ID utente di Facebook nel browser, inviando poi le informazioni a un server di comando e controllo.
La risposta di Cyberhaven
Cyberhaven ha reagito prontamente, identificando la violazione il 25 dicembre e rimuovendo la versione compromessa dell’estensione entro un’ora. Una nuova versione pulita è stata resa disponibile immediatamente, e il 26 dicembre l’azienda ha informato i clienti dell’incidente, raccomandando di revocare e modificare password, aggiornando anche tutte le credenziali di accesso compromesse.
