Un ciberatacante ha conseguido instalar modificaciones maliciosas de extensiones legitimas para el navegador Chrome en una campaña de ‘phishing’ desplegada en Navidad, que ha afectado a la firma de seguridad Cyberhaven.
MIRA: Navidad: registran aumento de ciberdelitos relacionados a las compras de tecnología y videojuegos
Cyberhaven es una compañía de ciberseguridad que ha desarrollado una extensión para Chrome para fortalecer la seguridad de los usuarios mientras usan este navegador, que, sin embargo, y con motivo de una campaña maliciosa, durante unas horas ha difundido una versión modificada insegura.
Se debe a la campaña de ‘phishing’ que permitió a un ciberatacante activar en Navidad un código malicioso en la extensión legítima, que ha puesto en riesgo a los usuarios de la versión de navegador que tenían activada la actualización automática.
En su caso, un ataque de ‘phishing’ consiguió obtener las credenciales de acceso a la tienda de extensiones de Chrome de un empleado de Cyberhaven, lo que facilitó la publicación de la extensión maliciosa (v24.10.4).
El equipo de seguridad de Cyberhaven detectó el cambio y “eliminó el paquete malicioso en 60 minutos”, ha confirmado en su blog oficial, donde explica la situación. A continuación, notificaron a los usuarios, empezando por los afectados, del incidente, y publicaron una versión actualizada y libre de código malicioso (v24.10.5).
Cyberhaven no ha sido la única afectada por la campaña de ‘phishing’, como se desprende de la investigación que han iniciado. “Nuestros hallazgos iniciales muestran que el atacante tenía como objetivo inicios de sesión en plataformas específicas de inteligencia artificial y publicidad en redes sociales”, señalan.
El cofundador y responsable de Tecnología de Nudge Security, Jaime Blasco, también cree que hay más extensiones afectadas, a juzgar por el análisis de la dirección de IP que ha realizado. “Hay más dominios creados dentro del mismo intervalo de tiempo que se resuelven en la misma dirección IP” que la de la extensión maliciosa de Cyberhaven.
De hecho, Blasco cita que las extensiones ParrotTalks, Uvoice y VPNCity se encuentran ente las afectadas, como recoge en la red social X (antigua Twitter).
