Una nueva campaña de ataque se ha dirigido a extensiones conocidas del navegador Chrome, lo que ha provocado que al menos 16 extensiones se vean comprometidas y exponga a más de 600.000 usuarios a la exposición de datos y al robo de credenciales.
El ataque se dirigió a los editores de extensiones de navegador en Chrome Web Store a través de una campaña de phishing y utilizó sus permisos de acceso para insertar código malicioso en extensiones legítimas con el fin de robar cookies y tokens de acceso de usuarios.
La primera empresa que se supo que estuvo expuesta fue la empresa de ciberseguridad Cyberhaven.
El 27 de diciembre, Cyberhaven revelado que un actor de amenazas comprometió la extensión de su navegador e inyectó código malicioso para comunicarse con un servidor de comando y control (C&C) externo ubicado en el dominio cyberhavenext[.]pro, descargar archivos de configuración adicionales y extraer datos del usuario.
“Las extensiones de navegador son la parte más vulnerable de la seguridad web”, afirma Or Eshed, director ejecutivo de Seguridad LayerXque se especializa en seguridad de extensiones de navegador. “Aunque tendemos a pensar que las extensiones del navegador son inofensivas, en la práctica, con frecuencia se les conceden amplios permisos para acceder a información confidencial del usuario, como cookies, tokens de acceso, información de identidad y más.
“Muchas organizaciones ni siquiera saben qué extensiones han instalado en sus terminales y no son conscientes del alcance de su exposición”, afirma Eshed.
Una vez que se supo la noticia de la violación de Cyberhaven, se identificaron rápidamente extensiones adicionales que también estaban comprometidas y se comunicaban con el mismo servidor C&C.
Jamie Blasco, CTO de la empresa de seguridad SaaS Nudge Security, dominios adicionales identificados que resuelven a la misma dirección IP del servidor C&C utilizado para la infracción de Cyberhaven.
Otras extensiones del navegador que actualmente se sospecha que han sido comprometidas incluyen:
- Asistente de IA: ChatGPT y Gemini para Chrome
- Extensión de chat de IA de Bard
- Resumen de GPT 4 con OpenAI
- Asistente de búsqueda Copilot AI para Chrome
- Asistente de IA TinaMInd
- Wayin IA
- VPNCiudad
- VPN interna
- Grabador de vídeo Vindoz Flex
- Descargador de vídeos VidHelper
- Cambiador de favoritos de Favicon
- Castor
- Uvoz
- Modo lector
- Charlas de loros
- Hornillo de camping
Estas extensiones adicionales comprometidas indican que Cyberhaven no era un objetivo único, sino parte de una campaña de ataque a gran escala dirigida a extensiones legítimas del navegador.
El análisis de Cyberhaven comprometido indica que el código malicioso apuntaba a datos de identidad y tokens de acceso de cuentas de Facebook, y específicamente a cuentas comerciales de Facebook:
 |
| Datos de usuario recopilados por la extensión de navegador Cyberhaven comprometida (fuente: Cyberhaven) |
Cyberhaven dice que la versión maliciosa de la extensión del navegador se eliminó aproximadamente 24 horas después de su lanzamiento. Algunas de las otras extensiones expuestas también ya se actualizaron o eliminaron de Chrome Web Store.
Sin embargo, el hecho de que la extensión haya sido eliminada de la tienda de Chrome no significa que la exposición haya terminado, dice Or Eshed. “Mientras la versión comprometida de la extensión siga activa en el terminal, los piratas informáticos aún pueden acceder a ella y extraer datos”, afirma.
Los investigadores de seguridad continúan buscando extensiones expuestas adicionales, pero la sofisticación y el alcance de esta campaña de ataque han subido la apuesta para que muchas organizaciones protejan las extensiones de sus navegadores.
About the Author
