Una peligrosa campaña de malware que causa estragos en el ecosistema de extensiones de Google Chrome fue detectada por especialistas en ciberseguridad durante los primeros días de enero. Este ataque sorprendió a los especialistas por su capacidad sin precedentes para evadir incluso las más robustas medidas de seguridad.
Este peligroso virus, que afectó a varias extensiones populares del navegador, logró burlar protecciones avanzadas y hasta sistemas de autenticación de dos factores.
La brecha de seguridad se inició cuando ciberdelincuentes, a través de un simple phishing, accedieron al perfil de Cyberhaven, irónicamente una empresa de protección de datos, en la tienda de extensiones de Chrome.
Los cibercriminales enviaron un mensaje aparentemente legítimo al correo de soporte de la empresa, con la excusa de un problema con las palabras clave en la descripción de su extensión. Un empleado cayó en el engaño, accionó la trampa y así los atacantes se metieron en la red de la compañía, sin generar ninguna alerta ni ser detectado.
Una vez dentro del sistema, los atacantes publicaron una versión maliciosa de la extensión oficial de Cyberhaven que permaneció activa durante más de 24 horas a fin de año. Esta versión comprometida se distribuyó automáticamente a los usuarios que tenían habilitadas las actualizaciones automáticas, con lo que el malware se instaló desapercibido.
Lo que hizo particularmente preocupante este ataque fue su alcance: además de Cyberhaven, otras extensiones populares como Internxt VPN, VPNCity, Uvoice y ParrotTalks fueron comprometidas.
Cuál es el riesgo y a quienes afecta este malware
El objetivo principal de este malware fue robar cuentas comerciales y publicitarias de Facebook, capturar credenciales de usuarios y monitorear y recolectar imágenes, especialmente códigos QR que podrían usarse para eludir sistemas de seguridad.
En principio, los usuarios de las extensiones mencionadas podrían estar afectados, por lo que se recomienda desinstalas y volver a descargarlas dentro de unos días. Y, si además administran una cuenta comercial de Facebook, se sugiere cambiar las contraseñas de acceso.
Este incidente destaca la creciente sofisticación de los ciberataques modernos y la importancia de prestar atención a actualizaciones que actúan en segundo plano, incluso cuando se utilizan herramientas y extensiones aparentemente seguras.
Cyberhaven, empresa valorada en 488 millones de dólares, aseguró esta semana que ningún otro sistema de la empresa fue comprometido y ya lanzó una versión limpia (24.10.5) y segura de su extensión.
