V posledních týdnech se objevily nové informace o rozsáhlém útoku, který zasáhl tisíce uživatelů Google Chrome. Tato kybernetická kampaň, zaměřená na malware, který infikoval uživatelské rozšíření, vypadá mnohem závažněji, než se původně myslelo. Útočníci začali s přípravami již na jaře 2024, ačkoli samotný útok vypukl až v prosinci 2024. Tato zpráva byla zveřejněna na základě nových výzkumů, které rozkrývají podrobnosti o celé kampani.
Kdy to začalo?
Nové informace ukazují, že útočníci byli připraveni na tento útok mnohem dříve, než bylo původně odhadováno. I když samotný kybernetický útok začal 5. prosince 2024, některé související domény byly registrovány už v březnu 2024. To naznačuje, že útočníci si pečlivě plánovali celou operaci a měli dostatek času na testování a přípravy. Došlo tedy k promyšlenému a dlouhodobému útoku, který zasáhl jak běžné uživatele, tak i velké organizace.
Jaký byl cíl útočníků?
Cílem této kybernetické kampaně bylo infikovat rozsáhlý počet uživatelů prostřednictvím rozšíření Google Chrome, což je oblíbený prohlížeč s miliony aktivních uživatelů po celém světě. V rámci tohoto útoku bylo ovlivněno více než 400 000 zařízení. Rozšíření, které se dostalo na uživatelské zařízení, obsahovalo malware, který sbíral citlivá data, včetně přihlašovacích údajů k Facebooku.
Vtipné je, že útočníci použili phishingový e-mail, který se tvářil jako oficiální oznámení od Google. Tento e-mail informoval vývojáře o údajném porušení zásad Chrome Web Store a hrozbě odstranění rozšíření z obchodu. Cílem bylo donutit vývojáře nainstalovat „Privacy Policy Extension“, což vedlo k nechtěnému schválení přístupu útočníkům k administrativním účtům.
Jakmile útočníci získali přístup k vývojářskému účtu, nahráli novou verzi rozšíření, která byla infikovaná malwarem. Tato verze se šířila prostřednictvím automatických aktualizací prohlížeče Chrome. Tento způsob šíření byl efektivní, protože uživatelé si nemuseli nic stahovat ručně – vše se dělo v pozadí. Tento typ útoku je zvlášť nebezpečný, protože je těžko detekovatelný a může postihnout velkou část uživatelů během krátké doby.
Co se vlastně stalo s firmou Cyberhaven?
Zajímavostí je, že firma Cyberhaven, která poskytuje služby zaměřené na ochranu dat, byla jednou z hlavních obětí tohoto útoku. Ironií osudu je, že právě její rozšíření pro Chrome mělo chránit před úniky citlivých dat, ale stalo se naopak vektorem pro šíření malwaru. Útok probíhal cíleně na vývojáře, kteří následně umožnili útočníkům přístup k citlivým datům.
I když Cyberhaven chrání uživatele před ztrátou citlivých dat při používání neautorizovaných platforem (jako je Facebook nebo ChatGPT), její vlastní software se stal nechtěnou součástí kybernetického útoku. To ukazuje na nebezpečí, které hrozí, když dojde k porušení bezpečnostních zásad při vývoji softwaru.
Co to znamená pro uživatele?
Pro uživatele to znamená, že by měli být obzvlášť opatrní při instalaci nových rozšíření nebo aktualizacích v prohlížeči. Vždy je dobré si ověřit, zda jsou všechny aktualizace oficiální a zda pocházejí z důvěryhodného zdroje. Uživatelé by měli také pravidelně kontrolovat svá zařízení na přítomnost malwaru a změny v chování jejich prohlížeče.

