Ciberseguridad 360 | Extensiones falsas de Chrome roban credenciales y secuestran sesiones

A un actor de amenazas desconocido se le atribuye la creaci�n de varias extensiones maliciosas del navegador Chrome desde febrero de 2024 que se hacen pasar por utilidades aparentemente benignas pero incorporan funcionalidades encubiertas para exfiltrar datos, recibir comandos y ejecutar c�digo arbitrario.

"El actor crea sitios web que se hacen pasar por servicios leg�timos, herramientas de productividad, asistentes de creaci�n o an�lisis de anuncios y medios, servicios VPN, criptograf�a, banca y m�s para dirigir a los usuarios a instalar las correspondientes extensiones maliciosas en la Chrome Web Store (CWS) de Google", dijo el equipo de DomainTools Intelligence (DTI) en un informe compartido con The Hacker News.

Aunque los complementos del navegador parecen ofrecer las funciones anunciadas, tambi�n permiten el robo de credenciales y cookies, el secuestro de sesiones, la inyecci�n de anuncios, las redirecciones maliciosas, la manipulaci�n del tr�fico y el phishing a trav�s de la manipulaci�n del DOM.

Otro factor que juega a favor de las extensiones es que est�n configuradas para concederse a s� mismas permisos excesivos a trav�s del archivo manifest.json, lo que les permite interactuar con todos los sitios visitados en el navegador, ejecutar c�digo arbitrario recuperado de un dominio controlado por el atacante, realizar redirecciones maliciosas e incluso inyectar anuncios.

Tambi�n se ha descubierto que las extensiones se basan en el controlador de eventos "onreset" de un elemento temporal del modelo de objetos del documento (DOM) para ejecutar c�digo, probablemente en un intento de eludir la pol�tica de seguridad de contenidos (CSP).

Algunos de los sitios web se�uelo identificados se hacen pasar por productos y servicios leg�timos como DeepSeek, Manus, DeBank, FortiVPN y Site Stats para inducir a los usuarios a descargar e instalar las extensiones. A continuaci�n, los complementos recogen las cookies del navegador, obtienen secuencias de comandos arbitrarias de un servidor remoto y establecen una conexi�n WebSocket para actuar como proxy de red para el enrutamiento del tr�fico.

Actualmente no hay visibilidad de c�mo las v�ctimas son redirigidas a los sitios falsos, pero DomainTools dijo a la publicaci�n que podr�a implicar m�todos habituales como el phishing y las redes sociales.

"Debido a que aparecen tanto en Chrome Web Store y tienen sitios web adyacentes, pueden volver de como resultados en las b�squedas web normales y para las b�squedas dentro de la tienda de Chrome", dijo la compa��a. "Muchos de los sitios web se�uelo utilizado Facebook ID de seguimiento, lo que sugiere fuertemente que est�n aprovechando Facebook / Meta aplicaciones de alguna manera para atraer a los visitantes del sitio. Posiblemente a trav�s de p�ginas de Facebook, grupos e incluso anuncios".

En el momento de escribir estas l�neas, se desconoce qui�n est� detr�s de la campa�a, aunque los actores de la amenaza han creado m�s de 100 sitios web falsos y extensiones de Chrome maliciosas. Google, por su parte, ha retirado las extensiones.

Para mitigar los riesgos, se aconseja a los usuarios que, antes de descargar extensiones, recurran a desarrolladores verificados, revisen los permisos solicitados, examinen las rese�as y se abstengan de utilizar extensiones similares.

Dicho esto, tambi�n hay que tener en cuenta que las valoraciones pueden manipularse e inflarse artificialmente filtrando los comentarios negativos de los usuarios.

DomainTools, en un an�lisis publicado a finales del mes pasado, encontr� pruebas de extensiones que se hac�an pasar por DeepSeek y que redirig�an a los usuarios que proporcionaban valoraciones bajas (1-3 estrellas) a un formulario privado de comentarios en el dominio ai-chat-bot[.]pro, mientras que enviaban a los que proporcionaban valoraciones altas (4-5 estrellas) a la p�gina oficial de rese�as de Chrome Web Store.

Fuente: thehackernews