Un actor de amenaza desconocido ha sido atribuido a la creación Varias extensiones de navegador de cromo malicioso Desde febrero de 2024, eso se disfraza de utilidades aparentemente benignas, pero incorpora funcionalidad encubierta para exfiltrar datos, recibir comandos y ejecutar código arbitrario.
“El actor crea sitios web que se disfrazan de servicios legítimos, herramientas de productividad, creación de anuncios y medios de comunicación o asistentes de análisis, servicios VPN, criptografía, banca y más para dirigir a los usuarios a instalar extensiones maliciosas correspondientes en la tienda web Chrome (CWS) de Google”, el equipo de Domaedools Intelligence (DTI) dicho En un informe compartido con The Hacker News.
Si bien los complementos del navegador parecen ofrecer las características anunciadas, también permiten el robo de credenciales y cookies, secuestro de sesiones, inyección de AD, redirecciones maliciosas, manipulación de tráfico y phishing a través de la manipulación DOM.
Otro factor que funciona a favor de las extensiones es que están configurados para otorgarse permisos excesivos a través del archivo Manifest.json, lo que les permite interactuar con cada sitio visitado en el navegador, ejecutar código arbitrario recuperado de un dominio controlado por el atacante, realizar redireccionamientos maliciosos e incluso anuncios inyectados.
También se ha encontrado que las extensiones confían en el “ineset“El controlador de eventos en un elemento del modelo de objeto de documento temporal (DOM) para ejecutar el código, probablemente en un intento de evitar la Política de seguridad de contenido (CSP).
Algunos de los sitios web de señores identificados se hacen pasar por productos y servicios legítimos como Deepseek, Manus, DeBank, FortivPN y las estadísticas del sitio para atraer a los usuarios a descargar e instalar las extensiones. Los complementos luego proceden a Harvest Browser Cookies, obtienen scripts arbitrarios de un servidor remoto y configuran una conexión WebSocket para actuar como un proxy de red para el enrutamiento de tráfico.
Actualmente no hay visibilidad sobre cómo las víctimas son redirigidas a los sitios falsos, pero Domainteols le dijo a la publicación que podría involucrar métodos habituales como el phishing y las redes sociales.
“Debido a que aparecen tanto en la tienda web de Chrome como en los sitios web adyacentes, pueden regresar de los resultados en las búsquedas web normales y para las búsquedas dentro de la tienda Chrome”, dijo la compañía. “Muchos de los sitios web de Lure utilizaron ID de seguimiento de Facebook, lo que sugiere fuertemente que están aprovechando las aplicaciones de Facebook / Meta de alguna manera para atraer a los visitantes del sitio. Posiblemente a través de páginas de Facebook, grupos e incluso anuncios”.
Al escribir, no se sabe quién está detrás de la campaña, aunque los actores de amenaza han establecido más de 100 sitios web falsos y extensiones de cromo maliciosas. Google, por su parte, ha eliminado las extensiones.
Para mitigar los riesgos, se aconseja a los usuarios que se mantengan con desarrolladores verificados antes de descargar extensiones, revisar los permisos solicitados, examinar las revisiones y abstenerse de usar extensiones parecidas.
Dicho esto, también vale la pena tener en cuenta que las calificaciones podrían ser manipuladas e infladas artificialmente filtrando la retroalimentación negativa de los usuarios.
Domaineols, en un análisis publicado a fines del mes pasado, encontró Evidencia de extensiones que se esfuerzan a los usuarios que redirigieron a los usuarios que proporcionan bajas calificaciones (1-3 estrellas) a un formulario de retroalimentación privada en el botón AI-chat[.]Dominio Pro, mientras envía aquellos que proporcionan altas calificaciones (4-5 estrellas) a la página oficial de revisión de la tienda web Chrome.
About the Author
