Un actor de amenaza desconocido se ha atribuido a crear varias extensiones de navegador de Chrome malicioso desde febrero de 2024 que se disfrazan de utilidades aparentemente benignas pero incorporan funcionalidad encubierta para exfiltrar datos, recibir comandos y ejecutar código arbitrario.
«El actor crea sitios web que se disfrazan de servicios legítimos, herramientas de productividad, creación de anuncios y medios de comunicación o asistentes de análisis, servicios VPN, criptográficos, bancos y más para dirigir a los usuarios a instalar extensiones maliciosas correspondientes en la tienda web Chrome (CWS) de Google», el equipo de Domaedools Intelligence (DTI) dijo en un informe compartido con las noticias de piratas informáticos.
Si bien los complementos del navegador parecen ofrecer las características anunciadas, también permiten el robo de credenciales y cookies, secuestro de sesiones, inyección de AD, redirecciones maliciosas, manipulación de tráfico y phishing a través de la manipulación DOM.
Otro factor que funciona a favor de las extensiones es que están configurados para otorgarse permisos excesivos a través del archivo Manifest.json, lo que les permite interactuar con cada sitio visitado en el navegador, ejecutar código arbitrario recuperado de un dominio controlado por el atacante, realizar redireccionamientos maliciosos e incluso anuncios inyectados.
También se ha encontrado que las extensiones se basan en el controlador de eventos «OnReset» en un elemento del modelo de objeto de documento temporal (DOM) para ejecutar código, probablemente en un intento de evitar la Política de seguridad de contenido (CSP).
Algunos de los sitios web de señores identificados se hacen pasar por productos y servicios legítimos como Deepseek, Manus, DeBank, FortivPN y las estadísticas del sitio para atraer a los usuarios a descargar e instalar las extensiones. Los complementos luego proceden a Harvest Browser Cookies, obtienen scripts arbitrarios de un servidor remoto y configuran una conexión WebSocket para actuar como un proxy de red para el enrutamiento de tráfico.
Actualmente no hay visibilidad sobre cómo las víctimas son redirigidas a los sitios falsos, pero Domainteols le dijo a la publicación que podría involucrar métodos habituales como el phishing y las redes sociales.
«Debido a que aparecen tanto en la tienda web de Chrome como en los sitios web adyacentes, pueden regresar de los resultados en las búsquedas web normales y para las búsquedas dentro de la tienda Chrome», dijo la compañía. «Muchos de los sitios web de Lure utilizaron ID de seguimiento de Facebook, lo que sugiere fuertemente que están aprovechando las aplicaciones de Facebook / Meta de alguna manera para atraer a los visitantes del sitio. Posiblemente a través de páginas de Facebook, grupos e incluso anuncios».
Al escribir, no se sabe quién está detrás de la campaña, aunque los actores de amenaza han establecido más de 100 sitios web falsos y extensiones de cromo maliciosas. Google, por su parte, ha eliminado las extensiones.
Para mitigar los riesgos, se aconseja a los usuarios que se mantengan con desarrolladores verificados antes de descargar extensiones, revisar los permisos solicitados, examinar las revisiones y abstenerse de usar extensiones parecidas.
Dicho esto, también vale la pena tener en cuenta que las calificaciones podrían ser manipuladas e infladas artificialmente filtrando la retroalimentación negativa de los usuarios.
Domaineols, en un análisis publicado a fines del mes pasado, encontró evidencia de extensiones que se esfuerzan por unsee profundo que redirigió a los usuarios que proporcionan bajas calificaciones (1-3 estrellas) a un formulario de retroalimentación privada en el dominio profesional AI-Chat-Bot (.), Al tiempo que envían aquellos que proporcionan altas calificaciones (4-5 estrellas) a la página oficial de revisión de la tienda web de Chrome.