Một chiến dịch tấn công mạng đã lén lút đưa mã độc vào nhiều tiện ích mở rộng trình duyệt Chrome từ giữa tháng 12, theo thông tin được Reuters đưa tin. Mã độc này có mục đích đánh cắp cookie trình duyệt và các phiên xác thực, hướng đến “các nền tảng quảng cáo mạng xã hội và AI cụ thể”, theo blog của Cyberhaven, một trong những công ty bị tấn công.
Cyberhaven quy trách nhiệm cho một email lừa đảo về cuộc tấn công này, cho biết rằng mã độc được thiết kế đặc biệt nhằm vào tài khoản quảng cáo Facebook. Theo Reuters, nhà nghiên cứu an ninh Jaime Blasco cho biết cuộc tấn công có thể là “ngẫu nhiên” và không phải là một cuộc tấn công có chủ đích vào Cyberhaven. Ông cũng đã phát hiện ra các tiện ích mở rộng VPN và AI chứa mã độc giống như mã đã được chèn vào Cyberhaven.
Ngoài Cyberhaven, một số tiện ích mở rộng khác có thể bị ảnh hưởng bao gồm Internxt VPN, VPNCity, Uvoice và ParrotTalks, theo thông tin từ Bleeping Computer. Cyberhaven cho biết tin tặc đã phát hành một bản cập nhật (phiên bản 24.10.4) cho tiện ích mở rộng ngăn chặn mất mát dữ liệu của họ vào tối Giáng sinh lúc 8:32 PM ET. Công ty này phát hiện ra mã độc vào lúc 6:54 PM ET ngày 25 tháng 12, và đã xóa nó trong vòng một giờ, nhưng mã độc vẫn hoạt động cho đến 9:50 PM ET cùng ngày. Cyberhaven đã phát hành phiên bản sạch trong bản cập nhật 24.10.5.
Để bảo vệ các công ty có thể bị ảnh hưởng, Cyberhaven khuyến nghị họ kiểm tra nhật ký của mình để phát hiện hoạt động bất thường và thu hồi hoặc thay đổi bất kỳ mật khẩu nào không sử dụng tiêu chuẩn xác thực đa yếu tố FIDO2.