La empresa Koi Security comenzó a investigar una extensión llamada
«Color Picker, Eyedropper — Geco colorpick», y descubrió que era
simplemente uno de muchos complementos maliciosos utilizados para infectar usuarios-
Los investigadores dicen que este fue un esfuerzo coordinado llamado
«The Red direction Campaign». en donde los atacantes utilizaron un «ejército» de 18 extensiones
maliciosas subidas a las tiendas de Chrome y Edge, para
secuestrar navegadores y lograron infectar a 2,3 millones de usuarios en ambos
navegadores.
Curiosamente, los complementos se distribuyeron en varias categorías, como
VPN, pronósticos meteorológicos, relacionados con YouTube, etc. Algunos de
ellos han alcanzado el estado verificado, o han sido promovidos como
«extensiones destacadas» tanto en la tienda web de Chrome como en la tienda
Microsoft Edge. Cada uno de este malware tenía su propio subdominio de comando
y control, para enmascarar el hecho de que estaban operando en la misma
infraestructura de ataque centralizada.
Las extensiones se activaban cada vez que los usuarios navegaban a una
página nueva, mientras que un servicio de fondo oculto monitoreaba toda la
actividad de las pestañas.
Esta URL se capturaba y luego se envía a un servidor remoto con un ID de
seguimiento única, y el servidor enviaba URL de redirección desde el Centro de
Comando y Control. Finalmente, el navegador redirigiría al usuario a una
página web maliciosa contralada por el atacante. El usuario no tenía que hacer
clic en nada malicioso y no había phishing en el proceso.
Ea campaña de RedDirection expone fallas sistémicas en la seguridad del
mercado que se extienden mucho más allá de las extensiones individuales:
-
Verificación a escala: el proceso de verificación de Google y
Microsoft no pudo detectar malware sofisticado en dieciocho extensiones
diferentes, incluso destacando varias de ellas. -
La adquisición de la cadena de suministro: la campaña demuestra cómo
los atacantes pueden comprometer el ecosistema de extensión al crear nuevas
extensiones maliciosas o alterar extensiones válidas. -
Armamento de las «señales de confianza»: los atacantes han explotado
con éxito todas las señales de confianza en las que los usuarios confían:
insignias de verificación, recuentos de instalación, colocación destacada,
años de operación legítima y revisiones positivas: convirtieron los
mecanismos de credibilidad de las plataformas en armas contra los usuarios.
Aquí hay una lista de las extensiones maliciosas junto con sus ID.
Chrome
-
Chrome:kgmeffmlnkfnjpgmdndccklfigfhajen — [Emoji keyboard online —
copy&past your emoji.] - dpdibkjjgbaadnnjhkmmnenkmbnhpobj — [Free Weather Forecast]
- gaiceihehajjahakcglkhmdbbdclbnlf — [Video Speed Controller — Video manager]
-
mlgbkfnjdmaoldgagamcnommbbnhfnhf — [Unlock Discord — VPN Proxy to Unblock
Discord Anywhere] - eckokfcjbjbgjifpcbdmengnabecdakp — [Dark Theme — Dark Reader for Chrome]
- mgbhdehiapbjamfgekfpebmhmnmcmemg — [Volume Max — Ultimate Sound Booster]
-
cbajickflblmpjodnjoldpiicfmecmif — [Unblock TikTok — Seamless Access with
One-Click Proxy] - pdbfcnhlobhoahcamoefbfodpmklgmjm — [Unlock YouTube VPN]
-
eokjikchkppnkdipbiggnmlkahcdkikp — [Color Picker, Eyedropper — Geco
colorpick] - ihbiedpeaicgipncdnnkikeehnjiddck — [Weather]
Edge
- Edge:jjdajogomggcjifnjgkpghcijgkbcjdi — [Unlock TikTok]
- mmcnmppeeghenglmidpmjkaiamcacmgm — [Volume Booster — Increase your sound]
- ojdkklpgpacpicaobnhankbalkkgaafp — [Web Sound Equalizer]
- lodeighbngipjjedfelnboplhgediclp — [Header Value]
- hkjagicdaogfgdifaklcgajmgefjllmd — [Flash Player — games emulator]
- gflkbgebojohihfnnplhbdakoipdbpdm — [Youtube Unblocked]
- kpilmncnoafddjpnbhepaiilgkdcieaf — [SearchGPT — ChatGPT for Search Engine]
- caibdnkmpnjhjdfnomfhijhmebigcelo — [Unlock Discord]
Fuente:
Koi Security