Hackerlar, bir siber saldırı kampanyasıyla Chrome tarayıcı uzantılarına kötü amaçlı kod yerleştirerek kullanıcı verilerini çalmayı hedefledi. Bu saldırının, Aralık ortasından itibaren gerçekleştiği ve tarayıcı çerezlerini ve kimlik doğrulama oturumlarını ele geçirmeye yönelik olduğu belirtildi. Özellikle sosyal medya reklamları ve yapay zeka platformlarını hedef aldığı bildirilen saldırı, Cyberhaven’ın blog gönderisiyle ortaya çıktı.
Hedeflenen Uzantılar ve Saldırının Yayılımı
Cyberhaven, bu saldırının bir oltalama e-postası yoluyla başlatıldığını ve özellikle Facebook Ads hesaplarını hedef aldığını ifade etti. Ancak, güvenlik araştırmacısı Jaime Blasco, saldırının yalnızca Cyberhaven’ı hedef almadığını, VPN ve AI uzantılarını da içerdiğini belirtti. Etkilenen diğer uzantılar arasında Internxt VPN, VPNCity, Uvoice ve ParrotTalks yer alıyor.
Saldırı sırasında, hackerlar Cyberhaven’ın veri kaybını önleme uzantısına kötü amaçlı kod içeren bir güncelleme (sürüm 24.10.4) yükledi. Bu kod, 24 Aralık’ta saat 20:32 ET’de yayımlandı ve 25 Aralık’ta saat 21:50 ET’ye kadar aktif kaldı. Cyberhaven, kodu fark ettikten bir saat içinde temiz bir sürüm (24.10.5) yayımladı.
Güvenlik Önerileri ve Alınacak Tedbirler
Cyberhaven, etkilenen şirketlere şu önerilerde bulundu:
- Şüpheli aktiviteleri kontrol etmek için log dosyalarını inceleyin.
- FIDO2 çok faktörlü kimlik doğrulama standardını kullanmayan şifreleri iptal edin veya değiştirin.
- Müşterilere bilgi vermek için erken uyarı sistemlerini etkinleştirin.
TechCrunch’a göre, Cyberhaven, saldırıyı fark ettikten sonra müşterilerini e-posta yoluyla bilgilendirdi.
