Các nhà nghiên cứu tại Cyberhaven, một công ty phòng chống thất thoát dữ liệu đến từ Mỹ, mới đây đã lên tiếng cảnh báo khách hàng của mình về một vụ vi phạm dữ liệu vào ngày 24/12 sau một cuộc tấn công lừa đảo thành công vào tài khoản quản trị viên của cửa hàng Google Chrome.
Trong số các khách hàng của Cyberhaven có Snowflake, Motorola, Canon, Reddit, AmeriHealth, Cooley, IVP, Navan, DBS, Upstart và Kirkland & Ellis.
Tin tặc đã chiếm đoạt tài khoản của nhân viên và phát hành phiên bản độc hại (24.10.4) của tiện ích mở rộng Cyberhaven, trong đó có mã có thể đánh cắp các phiên xác thực và cookie vào tên miền của kẻ tấn công (cyberhavenext[.]pro).
Nhóm an ninh nội bộ của Cyberhaven đã xóa gói phần mềm độc hại này trong vòng một giờ kể từ khi phát hiện, công ty cho biết trong email gửi cho khách hàng.
Phiên bản sạch của tiện ích mở rộng là v24.10.5 đã được phát hành vào ngày 26/12. Ngoài việc nâng cấp lên phiên bản mới nhất, người dùng tiện ích mở rộng Cyberhaven Chrome được khuyến nghị thu hồi mật khẩu không phải là FIDOv2, thay đổi tất cả mã thông báo API và xem lại nhật ký trình duyệt để đánh giá hoạt động độc hại.
Sau tiết lộ của Cyberhaven, nhà nghiên cứu Jaime Blasco của hãng bảo mật Nudge Security (Mỹ) đã tiến hành điều tra sâu hơn, chuyển hướng từ địa chỉ IP và tên miền đã đăng ký của kẻ tấn công.
Theo Blasco, đoạn mã độc hại cho phép tiện ích mở rộng nhận lệnh từ kẻ tấn công cũng được đưa vào cùng thời điểm trong các tiện ích mở rộng khác của Chrome bao gồm:
- Internxt VPN: VPN miễn phí được mã hóa, không giới hạn để duyệt web an toàn. (10.000 người dùng).
- VPNCity: VPN tập trung vào quyền riêng tư với thuật toán mã hóa AES 256-bit và phạm vi phủ sóng máy chủ toàn cầu (50.000 người dùng).
- Uvoice: Dịch vụ dựa trên phần thưởng để kiếm điểm thông qua khảo sát và cung cấp dữ liệu sử dụng PC (40.000 người dùng).
- ParrotTalks: Công cụ tìm kiếm thông tin chuyên dùng về văn bản và ghi chú (40.000 người dùng).
Blasco đã tìm thấy nhiều tên miền trỏ đến các nạn nhân tiềm năng khác nhưng chỉ có các phần mở rộng ở trên được xác nhận là có chứa đoạn mã độc hại. Người dùng các tiện ích mở rộng này được khuyến cáo xóa chúng khỏi trình duyệt hoặc nâng cấp lên phiên bản an toàn được phát hành sau ngày 26/12.
Nếu không chắc chắn, tốt hơn hết là gỡ cài đặt tiện ích mở rộng, đặt lại mật khẩu tài khoản quan trọng, xóa dữ liệu trình duyệt và khôi phục cài đặt trình duyệt về mặc định ban đầu.
Hồng Đạt
(Tổng hợp)
16:00 | 19/12/2023
15:00 | 26/01/2025
09:00 | 25/12/2023
15:00 | 10/01/2025
11:00 | 19/04/2023
22:00 | 25/01/2025
Mông Cổ, Đài Loan, Myanmar, Việt Nam và Campuchia đang là mục tiêu của nhóm tin tặc RedDelta có liên hệ với Trung Quốc nhằm triển khai phiên bản tùy chỉnh của backdoor PlugX trong khoảng thời gian từ tháng 7/2023 đến tháng 12/2024.
08:00 | 20/12/2024
Các nhà nghiên cứu tại hãng bảo mật di động Lookout (Mỹ) mới đây đã phát hiện ba công cụ gián điệp mới trên thiết bị Android do các tổ chức được nhà nước bảo trợ có tên lần lượt là BoneSpy, PlainGnome và EagleMsgSpy để theo dõi và đánh cắp dữ liệu từ các thiết bị di động.
14:00 | 27/11/2024
Công ty an ninh mạng BlackBerry (Canada) cho biết, nhóm tin tặc APT41 của Trung Quốc đứng sau phần mềm độc hại LightSpy iOS đã mở rộng bộ công cụ của chúng bằng DeepData, một framework khai thác mô-đun trên Windows, được sử dụng để thu thập nhiều loại thông tin từ các thiết bị mục tiêu. Bài viết này sẽ tìm hiểu về các plugin DeepData dựa trên báo cáo của BlackBerry.
10:00 | 20/11/2024
Cảnh sát Hàn Quốc đã bắt giữ 215 người bị nghi đánh cắp 320 tỷ won (228,4 triệu USD) trong vụ lừa đảo đầu tư tiền kỹ thuật số lớn nhất tại nước này.
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
09:00 | 10/02/2025