Cyberhaven: Malware ontdekt in Chrome-extensie die inloggegevens steelt

Op zaterdag 28 december 2024, om 08:28, heeft het cybersecuritybedrijf Cyberhaven bekendgemaakt dat hun Google Chrome-extensie is gecompromitteerd door malware. Deze kwaadaardige software heeft de capaciteit om sessiedata en cookies van gebruikerssystemen te stelen. Dit nieuws werd gedeeld met klanten en via een blogpost op hun website.

Cyberhaven, dat zich richt op het beschermen van gevoelige informatie, biedt onder andere een Chrome-extensie aan die de sensorsoftware van het bedrijf verbindt met de browser. In een e-mail aan hun klanten onthulde het bedrijf dat op 24 december een 'gerichte geavanceerde aanval' heeft plaatsgevonden op een van hun medewerkers. Deze aanval resulteerde in de diefstal van inloggegevens, die vervolgens werden gebruikt om een schadelijke update voor de Chrome-extensie te verspreiden. In de communicatie aan klanten werden echter geen specifieke details over de aanval of de geavanceerdheid ervan verstrekt. Wel werd duidelijk dat de malware in de extensie in staat was om cookies en sessiedata te verzamelen.

Volgens gegevens van de Chrome Web Store had de inmiddels verwijderde extensie ongeveer 400.000 gebruikers. Cyberhaven heeft inmiddels aanvullende informatie over de aanval vrijgegeven. Een medewerker ontving een phishingmail waarin werd beweerd dat de Chrome-extensie verwijderd zou worden. De link in deze e-mail leidde naar een malafide third-party OAUTH-applicatie die toegang vroeg tot het Google-account van de medewerker. De medewerker voldeed aan dit verzoek, wat de aanvaller in staat stelde om de kwaadaardige update voor de Cyberhaven-extensie te implementeren.

Het primaire doel van de aanval bleek toegang tot Facebook Ads-accounts te zijn. In hun analyse weerlegde Cyberhaven de eerdere bewering in de e-mail aan klanten dat het om een gerichte aanval ging. In plaats daarvan werd het een niet-gerichte aanval genoemd, die onderdeel uitmaakte van een grotere phishingcampagne gericht op gebruikers van Facebook Ads. De malafide extensie is inmiddels uit de Chrome Web Store verwijderd, en getroffen klanten zijn aangespoord hun wachtwoorden te wijzigen.

Cyberhaven heeft aangekondigd hun interne beveiligingspraktijken te herzien en extra maatregelen te nemen om toekomstige aanvallen te voorkomen. Dit incident komt kort na een investering van 88 miljoen dollar die het bedrijf eerder dit jaar ontving, wat de noodzaak van robuuste beveiligingsmaatregelen benadrukt.

In het licht van deze gebeurtenissen is het essentieel voor bedrijven en individuen om waakzaam te zijn en hun beveiligingsprotocollen regelmatig te evalueren. Cyberhaven lijkt vastbesloten om de lessen uit deze aanval te leren en hun klanten beter te beschermen tegen toekomstige bedreigingen.