Chrome-extensie securitybedrijf voorzien van malware die inlogdata steelt
Aanvallers zijn erin geslaagd de Google Chrome-extensie van securitybedrijf Cyberhaven te voorzien van malware die sessiedata en cookies van systemen steelt, zo heeft het bedrijf zelf aan klanten en via een blogposting laten weten. Cyberhaven biedt naar eigen zeggen oplossingen voor het beschermen van vertrouwelijke data, waaronder een extensie voor Google Chrome die sensorsoftware van het bedrijf met de browser laat communiceren.
In een e-mail aan klanten meldt het cybersecuritybedrijf dat op 24 december er een 'gerichte geavanceerde aanval' op een Cyberhaven-medewerker plaatsvond. Via deze aanval werden inloggegevens verkregen om een malafide update voor de Chrome-extensie uit te brengen. In de e-mail aan klanten geeft Cyberhaven geen details over de aanval of wat die geavanceerd maakte. Wel meldt het bedrijf dat de malware in de Chrome-extensie cookies en sessiedata steelt. Volgens cijfers van de Chrome Web Store telde de extensie, die inmiddels is verwijderd, 400.000 gebruikers.
Cyberhaven heeft inmiddels meer details over de aanval zelf gegeven. Een medewerker ontving een phishingmail waarin werd gesteld dat de Chrome-extensie verwijderd zou worden. De link in de e-mail vroeg uiteindelijk om een malafide third-party OAUTH-applicatie toegang tot het Google-account van de medewerker te geven, wat de medewerker deed. Via deze malafide extensie kreeg de aanvaller permissies om een malafide update voor de Chrome-extensie van Cyberhaven uit te brengen.
Volgens Cyberhaven was toegang tot Facebook Ads-accounts het primaire motief van de aanval. In de analyse weerspreekt het cybersecuritybedrijf de eerdere e-mail aan klanten en verklaart dat het om een niet-gerichte aanval ging, onderdeel van een grotere phishingcampagne gericht tegen Facebook Ads-gebruikers. De malafide extensie is inmiddels uit de Chrome Web Store verwijderd. Tevens zijn gedupeerde klanten aangeraden hun wachtwoorden te wijzigen. Daarnaast zegt Cyberhaven de eigen 'security practices' te zullen herzien en aanvullende waarborgen te nemen. Eerder dit jaar ontving Cyberhaven nog een investering van 88 miljoen dollar.
Oplossing: geen Google gebruiken?
Oplossing: geen Google gebruiken?
Geen Google gebruiken is niet de oplossing.
Als bovenstaande klopt dan blijkt maar weer eens dat de mensen de zwakste factor is.
Los daarvan zou het niet moeten mogen dat 1 medewerker een extensie kan aanpassen zonder dat hier iemand anders naar kijkt.
Ook lijkt het mij de hardening niet op orde was, third party applicaties kan je namelijk blokkeren.
Ook al hangt het domein achter een gewhiteliste IP, zoals CloudFlare.
Cybercriminelen misbruiken vermeende veiligheid.
Dit negeren maakt je tot slachtoffer.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
