Portal Impreza
Fazer loginMeus ServiçosMeus DomíniosMinhas FaturasMeus Tickets
Notícias
Logos Comemorativos
Nossa plataforma
Tutoriais
Tutoriais em vídeoBase de conhecimento
Mais
UptimeStatus da redeAfiliadosTrabalhe ConoscoSobre Nós
pt-brPortuguês (R$ BRL)
enEnglish ($ USD) (Inglês ($ USD))
Contato
Enviar ticket (Menos de 1 hora para responder)Whatsapp (Menos de 24 horas para responder)Telegram (Menos de 24 horas para responder)Denunciar abuso
INÍCIODOMÍNIOS

Servidores

Seja Offshore, seja na Surface, nós temos de tudo, várias
opções de Servidores para vários tipos de uso!

Hospedagem de Sites

Hospedagens prontas para receber seu Website, seja em
Wordpress ou outro sistema, nós damos conta!

E-mails

Seja profissional online e obtenha um E-mail único com
seu nome ou o nome da sua empresa!

Segurança

Navegue livremente ao escolher um de nossos métodos
de segurança online, esteja sempre Anônimo!

Escolha o Melhor Serviço de Hospedagem para você!

Escolha uma Hospedagem completa para o seu negócio, tenha tudo o que precisa para começar online

Todos os Produtos ➤
HOSPEDAGEM DE SITESHOSPEDAGEM DE SITESO primeiro passo para deixar seu site onlineO primeiro passo para deixar seu site onlineSAIBA MAIS

Tenha um Serviço de Hospedagem que funcione para você e vamos começar uma jornada juntos!

Serviços Recomendados

Certificados SSL

Backup para Sites

E-mail Open-Xchange

CONTATO
Login
Logar no PortalCriar uma Conta
Nenhum comentário

Ataque à cadeia de suprimentos atinge extensões do Chrome e pode expor milhões de pessoas

Chrome Web Store, chrome extensions,Nudge Security, phishing emails, Sekoia, OAuth applications, Supply chain attack

O Agente da Ameaça Explorou o Phishing e o Abuso do OAuth para Injetar Código Malicioso

A Sekoia, Empresa de Segurança Cibernética, está Alertando os Usuários do Chrome sobre:

  • um Ataque à Cadeia de Suprimentos que tem como Alvo os Desenvolvedores de Extensões do Navegador.

Esse ataque pode ter afetado Milhares de Desenvolvedores de Extensões do Chrome que foram Vítimas dos Ataques até o Momento. O Objetivo era:

  • levantar chaves de API,
  • cookies de sessão,
  • outros tokens de Autenticação de Sites como o ChatGPT e o Facebook for Business.

Em Primeiro Lugar, a Sekoia Examinou a Infraestrutura Usada para a Campanha de Phishing em Larga Escala Direcionada aos Desenvolvedores. E a Rastreou até Ataques Semelhantes em 2023 com “Alta Confiança”. No Entanto, a última Atividade Conhecida da Campanha Ocorreu em 30 de dezembro de 2024.

Em segundo lugar, a Cyberhaven, sediada na Califórnia, que fabrica uma Ferramenta de Proteção de Dados Baseada em Nuvem. Ela estava entre as Vítimas. Ela foi uma das Mais Infelizes a Detectar o Comprometimento Durante o Período de Férias, no Boxing Day de 2024. Uma Descoberta que foi Amplamente Divulgada na Época.

Extensões do Chrome Potencialmente Afetadas

Booz Allen Hamilton, que Analisou o Incidente na Cyberhaven. E Apoiou as Suspeitas do Fornecedor de que o Incidente Fazia Parte de uma Campanha mais Ampla. Seu Relatório de AA revelou uma longa lista de outras Extensões. Ela Acredita que Provavelmente foram Afetadas, Elevando o Número Potencial de Usuários Finais Afetados para Milhões. A Sekoia Publicou uma Lista Menos Abrangente em Sua Pesquisa, embora as mesmas Extensões apareçam em ambas as Listas.

Em Primeiro Lugar, várias das Extensões Potencialmente Afetadas parecem ter sido Retiradas da Chrome Web Store. Pelo menos no momento em que este Artigo foi escrito. (De acordo com o relatório da Booz Allen Hamilton). As páginas pertencentes a muitas das outras mostram que elas foram atualizadas desde o Incidente da Cyberhaven. Mesmo assim, muito poucos reconheceram publicamente um Incidente.

Um caso atípico foi o Reader Mode, cujo Fundador Ryzal Yusoff escreveu uma Carta Aberta para seus Cerca de 300.000 Usuários. Ele os Informou sobre uma Violação em 5 de dezembro.

“Em 5 de dezembro de 2024, nossa conta de desenvolvedor foi comprometida devido a um e-mail de phishing que imitava comunicações oficiais”. Disse Yusoff. “Essa violação permitiu que partes não autorizadas fizessem o upload de versões maliciosas da extensão Reader Mode (1.5.7 e 1.5.9) para a Chrome Web Store. O ataque foi descoberto em 20 de dezembro de 2024. Depois que o Google emitiu avisos identificando tentativas de phishing vinculadas a essa violação.

“As versões maliciosas da extensão podem ter incluído scripts não autorizados. Projetados para coletar dados do usuário ou realizar outras ações prejudiciais. Se você instalou ou atualizou a extensão Reader Mode entre 7 e 20 de dezembro de 2024, seu navegador pode ter sido afetado.”

Suporte ao Chrome para Personificação

Jaime Blasco, Cofundador e CTO da Nudge Security, sediada em Austin, também nomeou Algumas Extensões em uma Série de Publicações Online que Ele Suspeitava estarem Comprometidas, Muitas das Quais Também Apareceram no Relatório da Booz.

Em Primeiro Lugar, o Invasor Visava as Equipes de Desenvolvimento com E-mails de Phishing Aparentemente do Suporte ao Desenvolvedor da Chrome Web Store. Eles Imitavam a Comunicação Oficial, de Acordo com Yusoff e Sekoia.

O exemplo de e-mail, que aparece no Relatório, Mostra os Avisos de que as Extensões Podem ser Retiradas do Chrome Devido a Falsas Violações de Regras, Como Detalhes Desnecessários na Descrição da Extensão.

Em seguida, as vítimas eram induzidas a clicar em um link disfarçado como uma explicação das políticas da Chrome Web Store. O link levava a uma página legítima de Contas do Google, onde era solicitado que aprovassem o acesso a um aplicativo OAuth malicioso. Depois que os desenvolvedores concediam permissão ao aplicativo, o invasor obtinha tudo o que era necessário para fazer o upload de versões comprometidas de suas extensões para a Chrome Web Store.

Os pesquisadores disseram que é provável que os e-mails dos desenvolvedores tenham sido coletados da Chrome Web Store, onde essas informações podem estar acessíveis.

Sondagem da Infraestrutura

Usando os dois Domínios Associados aos E-mails de Phishing, a Sekoia descobriu os outros Nomes de Domínio usados nessa Campanha. E aqueles provavelmente envolvidos em ataques anteriores pelos mesmos criminosos.

Os nomes de domínio usados como servidores de comando e controle (C2) do invasor estavam hospedados em apenas dois endereços IP. E usando resoluções de DNS passivas, os pesquisadores acreditam que descobriram possivelmente todos os domínios que foram comprometidos na campanha.

Sekoia disse que foi “simples” descobrir os nomes de domínio usados no ataque mais recente e os usados em 2023. Todas as vezes eles usaram o mesmo registrador (Namecheap), e as configurações de DNS e TLS eram consistentes.

“A Convenção de Nomenclatura de Domínios e Suas Datas de Criação indicam que as Campanhas do atacante estão ativas desde pelo menos dezembro de 2023”.

Sekoia Escreveu em uma Postagem de Blog, por Exemplo:

“É Possível que os Sites que Redirecionam para Extensões do Chrome Supostamente Mal-Intencionadas tenham Sido Promovidos por Meio de Envenenamento de SEO ou Malvertising.

De fato. “Os Analistas da Sekoia Acreditam que Esse Agente de Ameaças se Especializou em Espalhar Extensões Maliciosas do Chrome para Coletar Dados Confidenciais. No Final de novembro de 2024, o Invasor Mudou seu Modus Operandi de Distribuir suas Próprias Extensões Maliciosas do Chrome por Meio de Sites Falsos para Comprometer Extensões Legítimas do Chrome por Meio de

  • E-mails de Phishing,
  • Aplicativos OAuth Mal-Intencionados,
  • e Código Malicioso

Injetado em Extensões Comprometidas do Chrome”. ®

 

Fonte: The Register

Leia outras notícias em nosso blog

Você pode gostar também
Notícias, Registro de Domínios, CiberSegurança, Domínios, Malware, Hacking, Phishing, Google, Ransomware
Notícias, Registro de Domínios, CiberSegurança, Domínios, Malware, Hacking, Phishing, Google, Ransomware

More Similar Posts

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Preencha esse campo
Preencha esse campo
Digite um endereço de e-mail válido.