Wie Reuters gestern berichtete, hat eine Cyberangriffskampagne bereits Mitte Dezember Schadcode in mehrere Chrome-Browsererweiterungen eingeschleust. Laut einem Blogbeitrag von Cyberhaven, einem der angegriffenen Unternehmen, schien der Code darauf ausgelegt zu sein, Browser-Cookies und Authentifizierungssitzungen zu stehlen und auf „spezifische Social-Media-Werbung und KI-Plattformen“ abzuzielen.
Cyberhaven macht eine Phishing-E-Mail für den Angriff verantwortlich und schreibt in einem separaten Beitrag zur technischen Analyse, dass der Code offenbar speziell auf Facebook-Werbekonten abzielte. Laut Reuters geht der Sicherheitsforscher Jaime Blasco davon aus, dass der Angriff „nur zufällig“ war und nicht speziell auf Cyberhaven abzielte. Er postete auf X, dass er VPN- und KI-Erweiterungen gefunden habe, die denselben Schadcode enthielten, der in Cyberhaven eingeschleust wurde.
Laut Cyberhaven haben Hacker am Heiligabend um 20:32 Uhr ET ein Update (Version 24.10.4) seiner Cyberhaven-Erweiterung zur Verhinderung von Datenverlust veröffentlicht, das den Schadcode enthält. Cyberhaven gab an, den Code am 25. Dezember um 18:54 Uhr ET entdeckt und innerhalb einer Stunde entfernt zu haben, der Code sei jedoch bis zum 25. Dezember um 21:50 Uhr ET aktiv gewesen. Das Unternehmen gibt an, mit seinem Update 24.10.5 eine saubere Version veröffentlicht zu haben.
Zu den Empfehlungen von Cyberhaven für möglicherweise betroffene Unternehmen gehört, dass sie ihre Protokolle auf verdächtige Aktivitäten überprüfen und alle Passwörter, die nicht den Multifaktor-Authentifizierungsstandard FIDO2 verwenden, widerrufen oder rotieren. Vor der Veröffentlichung seiner Beiträge benachrichtigte das Unternehmen seine Kunden per E-Mail, wie TechCrunch am Freitagmorgen berichtete.
