Ваш Bitwarden под угрозой: фальшивое обновление в Facebook крадет данные

В последние недели пользователи Facebook столкнулись с новой волной кибератак: мошенники запустили рекламную кампанию, предлагающую обновить популярный менеджер паролей Bitwarden. Однако вместо настоящего обновления реклама ведет на сайт, маскирующийся под официальный магазин расширений Chrome, где пользователей убеждают скачать вредоносное расширение.

Исследователи из Bitdefender Labs обнаружили, что мошенническая кампания началась 3 ноября 2024 года. Рекламные объявления утверждают, что пользователь работает с устаревшей версией Bitwarden и срочно должен выполнить обновление, чтобы защитить свои пароли. При этом ссылка в объявлении ведет на поддельный сайт 'chromewebstoredownload[.]com', который копирует дизайн и интерфейс настоящего магазина расширений Google.

После перехода на мошеннический сайт пользователей просят загрузить ZIP-файл с Google Drive, что уже должно вызвать подозрения, поскольку официальный Chrome Web Store никогда не требует подобных действий. Пользователи, не знакомые с процедурой установки расширений, могут следовать инструкциям на сайте и включить в Chrome 'Режим разработчика' для ручной установки расширения, что позволяет обойти стандартные меры безопасности.

Установленное расширение, зарегистрированное как 'Bitwarden Password Manager' версии 0.0.1, запрашивает разрешения, позволяющие перехватывать и манипулировать действиями пользователя в браузере. Оно собирает куки Facebook, данные о геолокации и IP, а также информацию об аккаунте через Facebook's Graph API. Вся собранная информация кодируется и отправляется на сервер злоумышленников.