Cyberhaven, естественно, начала собственное расследование инцидента. Она выяснила, что все расширения для браузера были заражены, начиная с середины декабря. Собственная разработка Cyberhaven была тайно модифицирована 24 декабря. Кроме того, пострадали такие расширения, как ParrotTalks, Uvoice і VPNCity, сообщает 24 Канал со ссылкой на Reuters.
Смотрите также В США обнаружили уже девятого провайдера, которого взломали китайские государственные хакеры
Детали
26 декабря Cyberhaven обратилась к своим клиентам с просьбой изменить пароли и другие учетные данные.
Первоначальное расследование инцидента, проведенное компанией, показало, что тайно интегрированные вредоносные функции расширения были нацелены на пользователей Facebook, в частности рекламной платформы соцсети, с целью похищения таких данных, как токены доступа, идентификаторы пользователей и другая информация об учетных записях, а также файлы cookie. Код также добавлял отслеживание кликов мыши.
После успешной отправки всех данных на сервер идентификатор пользователя Facebook сохраняется в памяти браузера. Этот идентификатор пользователя затем используется в событиях щелчка мышью, чтобы помочь злоумышленникам с двухфакторной аутентификацией на их стороне, если это было необходимо,
– пишут исследователи.
Cyberhaven заявила, что впервые обнаружила атаку 25 декабря. Вредоносная версия расширения была немедленно удалена. С тех пор компания выпустила обновленную чистую версию, которую уже можно установить без опаски. Но сделали ли это другие разработчики, пока неизвестно.
Среди других пострадавших есть расширения, связанные с искусственным интеллектом и виртуальными частными сетями. Как пишет источник, Американская организация по надзору за кибербезопасностью CISA "переадресовала вопрос причастным компаниям", но об их реакции ничего не упоминается. Предположительно, они также внесут изменения в свои продукты.