Extensiones de Chrome crackeadas

Extensiones de Chrome: Cuidado si usas alguna de estas

Fueron crackeadas numerosas extensiones de Chrome, exponiendo a millones de usuarios al robo de datos.

Una nueva campaña de ataques se ha dirigido a conocidas extensiones de Chrome. Esto ha provocado que al menos 35 extensiones se vean comprometidas. En consecuencia, más de 2,6 millones de usuarios queden expuestos a la exposición de datos y al robo de credenciales.

El ataque se dirigió a los editores de extensiones de Chrome en Chrome Web Store a través de una campaña de phishing. Utilizó sus permisos de acceso para insertar código malicioso en extensiones legítimas con el fin de robar cookies y tokens de acceso de los usuarios.

¿Cuándo fueron atacadas las extensiones de Chrome?

La primera empresa que dio a conocer la campaña fue la firma de ciberseguridad Cyberhaven. Uno de sus empleados fue objeto de un ataque de phishing el 24 de diciembre. Ese ataque permitió a los actores de amenazas publicar una versión maliciosa de la extensión.

¿Cómo operó el ataque?

El 27 de diciembre, Cyberhaven reveló que un actor de amenazas comprometió su extensión del navegador. Inyectó código malicioso para comunicarse con un servidor de comando y control externo ubicado en el dominio cyberhavenext.pro, descargar archivos de configuración adicionales y filtrar datos de los usuarios.

El correo electrónico de phishing supuestamente provenía del servicio de asistencia para desarrolladores de Google Chrome Web Store. Buscaba inducir una falsa sensación de urgencia al afirmar que su extensión corría un riesgo inminente de ser eliminada de la tienda de extensiones de Chrome. Alegaba una violación de las políticas del programa para desarrolladores. También instaba al destinatario a hacer clic en un enlace para aceptar las políticas. Luego que el usuario pinchaba el botón de aceptación, se le redirigía a una página para conceder permisos a una aplicación OAuth maliciosa llamada «Extensión de política de privacidad».

«El atacante obtuvo los permisos necesarios a través de la aplicación maliciosa y cargó una extensión maliciosa de Chrome en Chrome Web Store». Así afirmó Cyberhaven en un informe técnico independiente. «Después del proceso habitual de revisión de seguridad de Chrome Web Store, se aprobó la publicación de la extensión maliciosa. «

¿Por qué es relevante?

«Las extensiones de navegador son la parte más vulnerable de la seguridad web«. Esto comenta Or Eshed, director ejecutivo de LayerX Security, que se especializa en la seguridad de extensiones de navegador. «Aunque solemos pensar que las extensiones de navegador son inofensivas, en la práctica, con frecuencia se les conceden amplios permisos para acceder a información confidencial del usuario, como cookies, tokens de acceso, información de identidad y más.

«Muchas organizaciones ni siquiera saben qué extensiones tienen instaladas en sus terminales y no son conscientes del alcance de su exposición».

Las extensiones afectadas

Jamie Blasco es director de tecnología de la empresa de seguridad SaaS Nudge Security. Él identificó dominios adicionales que se resuelven en la misma dirección IP del servidor C&C utilizado para la vulneración de Cyberhaven. Una investigación más profunda ha descubierto más extensiones de Chrome [Google Sheets] que se sospecha que han sido comprometidas, según las plataformas de seguridad de extensiones de navegador Secure Annex y Extension Total:

Listado de extensiones

  • AI Assistant – ChatGPT y Gemini para Chrome
  • Bard AI Chat Extension
  • Resumen de GPT 4 con OpenAI
  • Search Copilot AI Assistant para Chrome
  • TinaMInd AI Assistant
  • Wayin AI
  • VPNCity
  • Internxt VPN
  • Vidnoz Flex Video Recorder
  • VidHelper Video Downloader
  • Bookmark Favicon Changer
  • Castorus
  • Uvoice
  • Reader Mode
  • Parrot Talks
  • Primus
  • Tackker – herramienta de registro de teclas en línea
  • AI Shop Buddy
  • Ordenar por más antiguo
  • Rewards Search Automator
  • ChatGPT Assistant – Búsqueda inteligente
  • Grabadora del historial del teclado
  • Email Hunter
  • Efectos visuales para Google Meet
  • Earny – Hasta un 20 % de reembolso en efectivo
  • ¿Dónde está Cookie? Web Mirror
  • ChatGPT App
  • Hi AI
  • Web3Password Manager
  • YesCaptcha assistant
  • Bookmark Favicon Changer
  • Proxy SwitchyOmega (V3)
  • GraphQL Network Inspector
  • ChatGPT para Google Meet
  • GPT 4 Summary with OpenAI

Estas extensiones comprometidas adicionales indican que Cyberhaven no era un objetivo aislado. Más bien, fue parte de una campaña de ataque a gran escala dirigida a extensiones de Chrome legítimas.

Presencia anterior

El fundador de Secure Annex, John Tuckner, le dijo a The Hacker News que existe la posibilidad de que la campaña haya estado en curso desde el 5 de abril de 2023, y probablemente incluso antes según las fechas de registro de los dominios utilizados: nagofsg.com se registró en agosto de 2022 y sclpfybn.com se registró en julio de 2021.

Rastreo

«He vinculado el mismo código presente en los ataques de Cyberhaven con un código relacionado (digamos Code1) en una extensión llamada ‘Reader Mode'», dijo Tuckner. «El código en ‘Modo Lector’ contenía el código de ataque de Cyberhaven (Código1) y un indicador adicional de compromiso «sclpfybn[.]com» con su propio código adicional (Código2). «
«El cambio de dominio me llevó a las siete extensiones nuevas. Una de esas extensiones relacionadas, llamada «Rewards Search Automator», tenía (Code2) que se enmascaraba como una función de «navegación segura», pero que estaba extrayendo datos».

«‘Rewards Search Automator’ también contenía una función de «comercio electrónico» enmascarada (Code3) con un nuevo dominio ‘tnagofsg.com’ que es funcionalmente muy similar a la ‘navegación segura’. Al buscar más en este dominio, encontré «Earny – Up to 20% Cash Back» que todavía tiene el código «ecommerce» (Code3) y se actualizó por última vez el 5 de abril de 2023″.

En cuanto al complemento Cyberhaven comprometido, el análisis indica que el código malicioso apuntaba a datos de identidad y tokens de acceso de cuentas de Facebook, principalmente con la intención de identificar a los usuarios de Facebook Ads.

También incluía un código para escuchar eventos de clic del mouse en el sitio web Facebook.com, verificando imágenes que contengan la subcadena «qr/show/code» en el atributo src cada vez que un usuario hace clic en una página y, si las encuentra, las envía al servidor C&C. Se sospecha que la intención era buscar códigos QR para eludir los controles de seguridad, como las solicitudes de autenticación de dos factores (2FA).

ataque a extensiones de chrome

Medidas correctivas

Cyberhaven dice que la versión maliciosa de la extensión del navegador se eliminó aproximadamente 24 horas después de su lanzamiento. Algunas de las otras extensiones expuestas también se han actualizado o eliminado de Chrome Web Store.

Sin embargo, el hecho de que la extensión haya sido eliminada de la tienda de Chrome no significa que la exposición haya terminado. Así lo afirma Or Eshed.

«Mientras la versión comprometida de la extensión siga activa en el punto final, los piratas informáticos podrán acceder a ella y extraer datos», afirma. Desde entonces, también se ha descubierto que la presencia de código de recopilación de datos en algunas de las extensiones no fue el resultado de un ataque, sino que probablemente fue incluido por los propios desarrolladores como parte de un kit de desarrollo de software (SDK) de monetización que también extrajo de forma sigilosa datos de navegación detallados.

«Antes de que el desarrollador de Visual Effects for Google Meet vendiera su extensión a Karma, intentó monetizarla con esta ‘biblioteca de bloqueo de anuncios'», dijo el investigador de seguridad Wladimir Palant. «El discurso de venta no menciona quién desarrolla la biblioteca, pero todo apunta a Urban VPN».

En este momento no está claro quién está detrás de la campaña y si estos ataques están relacionados. Hacker News se ha puesto en contacto con Google para obtener más comentarios y actualizaremos la historia si recibimos respuesta.

(La historia se actualizó después de la publicación para revisar la lista de extensiones afectadas e incluir comentarios de Secure Annex. )

Nota publicada en The Hacker News