Un actor de amenazas desconocido ha creado de
varias extensiones maliciosas
para el navegador Chrome desde febrero de 2024. Estas extensiones se hacen
pasar por utilidades aparentemente inofensivas, pero incorporan funciones
encubiertas para exfiltrar datos, recibir comandos y ejecutar código
arbitrario.
«El actor crea sitios web que se hacen pasar por servicios legítimos,
herramientas de productividad, asistentes de creación o análisis de anuncios
y medios, servicios VPN, criptomonedas, servicios bancarios y más, para
dirigir a los usuarios a instalar las extensiones maliciosas
correspondientes en la Chrome Web Store (CWS) de Google», declaró el equipo de DomainTools Intelligence (DTI) en un
informe.
Si bien los complementos del navegador parecen ofrecer las funciones
anunciadas, también permiten el robo de credenciales y cookies, el secuestro
de sesiones, la inyección de anuncios, las redirecciones maliciosas, la
manipulación del tráfico y el phishing mediante la manipulación del DOM.
Otro factor que favorece a las extensiones es que están configuradas para
otorgarse permisos excesivos a través del archivo manifest.json, lo que
les permite interactuar con todos los sitios web visitados en el navegador,
ejecutar código arbitrario obtenido de un dominio controlado por el atacante,
realizar redirecciones maliciosas e incluso inyectar anuncios.
También se ha descubierto que las extensiones utilizan el controlador de
eventos
«onreset»
en un elemento temporal del modelo de objetos de documento (DOM) para ejecutar
código, probablemente con el objetivo de eludir la política de seguridad de
contenido (CSP).
Algunos de los sitios web señuelo identificados se hacen pasar por productos y
servicios legítimos como
DeepSeek, Manus, DeBank, FortiVPN y Site Stats para incitar a los
usuarios a descargar e instalar las extensiones. Los complementos recopilan
cookies del navegador, obtienen scripts arbitrarios de un servidor
remoto y configuran una conexión WebSocket que actúa como proxy de red para el
enrutamiento del tráfico.
Actualmente no se sabe cómo se redirige a las víctimas a estos sitios falsos,
pero DomainTools indicó que podría implicar métodos habituales como el
phishing y las redes sociales.
«Dado que aparecen tanto en Chrome Web Store como en sitios web adyacentes,
pueden aparecer como resultados en búsquedas web normales y en búsquedas
dentro de Chrome Store. Muchos de los sitios web señuelo utilizaban
identificadores de seguimiento de Facebook, lo que sugiere firmemente que
están aprovechando las aplicaciones de Facebook/Meta para atraer visitantes.
Posiblemente a través de páginas, grupos e incluso anuncios de Facebook».
Al momento de escribir este artículo, se desconoce quién está detrás de la
campaña, aunque los actores de amenazas han creado más de 100 sitios web
falsos y extensiones maliciosas de Chrome. Google, por su parte, ha eliminado
las extensiones.
Para mitigar los riesgos, se recomienda a los usuarios que utilicen
desarrolladores verificados antes de descargar extensiones, revisen los
permisos solicitados, revisen las reseñas y eviten usar extensiones similares.
Dicho esto, también conviene tener en cuenta que las calificaciones podrían
manipularse e inflarse artificialmente al filtrar las opiniones negativas de
los usuarios.
DomainTools, en un análisis publicado a finales del mes pasado,
encontró evidencia de extensiones que suplantaban a DeepSeek
y redirigían a los usuarios con calificaciones bajas (de 1 a 3 estrellas) a un
formulario de comentarios privado en el dominio ai-chat-bot[.]pro,
mientras que enviaban a los usuarios con calificaciones altas (de 4 a 5
estrellas) a la página oficial de reseñas de la Chrome Web Store.
Fuente:
THN