A un actor de amenazas desconocido se le ha atribuido la creación de varias extensiones maliciosas del navegador Chrome desde febrero de 2024 que se hacen pasar por utilidades aparentemente benignas pero incorporan una funcionalidad encubierta para exfiltrar datos, recibir comandos y ejecutar código arbitrario.
«El actor crea sitios web que se hacen pasar por servicios legítimos, herramientas de productividad, asistentes de creación o análisis de anuncios y medios, servicios de VPN, criptomonedas, banca y más para dirigir a los usuarios a instalar extensiones maliciosas correspondientes en Chrome Web Store (CWS) de Google», dijo el equipo de DomainTools Intelligence (DTI) en un informe compartido con The Hacker News.
Si bien los complementos del navegador parecen ofrecer las características anunciadas, también permiten el robo de credenciales y cookies, el secuestro de sesiones, la inyección de anuncios, las redirecciones maliciosas, la manipulación del tráfico y el phishing a través de la manipulación del DOM.
Otro factor que juega a favor de las extensiones es que están configuradas para otorgarse permisos excesivos a través del archivo manifest.json, lo que les permite interactuar con cada sitio visitado en el navegador, ejecutar código arbitrario recuperado de un dominio controlado por el atacante, realizar redirecciones maliciosas e incluso inyectar anuncios.
También se ha descubierto que las extensiones dependen del controlador de eventos » onreset » en un elemento del modelo de objetos de documento (DOM) temporal para ejecutar código, probablemente en un intento de eludir la política de seguridad de contenido (CSP).
Algunos de los sitios web señuelo identificados se hacen pasar por productos y servicios legítimos como DeepSeek, Manus, DeBank, FortiVPN y Site Stats para incitar a los usuarios a descargar e instalar las extensiones. Estos complementos recopilan cookies del navegador, extraen scripts arbitrarios de un servidor remoto y configuran una conexión WebSocket que actúa como proxy de red para el enrutamiento del tráfico.
Actualmente no hay visibilidad sobre cómo las víctimas son redirigidas a los sitios falsos, pero DomainTools dijo a la publicación que podría involucrar métodos habituales como phishing y redes sociales.
Dado que aparecen tanto en Chrome Web Store como en sitios web adyacentes, pueden aparecer como resultados en búsquedas web normales y en búsquedas dentro de Chrome Store, afirmó la compañía. Muchos de los sitios web señuelo utilizaban identificadores de seguimiento de Facebook, lo que sugiere firmemente que aprovechan las aplicaciones de Facebook/Meta para atraer visitantes. Posiblemente a través de páginas, grupos e incluso anuncios de Facebook.
Al momento de escribir este artículo, se desconoce quién está detrás de la campaña, aunque los autores de la amenaza han creado más de 100 sitios web falsos y extensiones maliciosas de Chrome. Google, por su parte, ha eliminado las extensiones.
Para mitigar los riesgos, se recomienda a los usuarios que se queden con desarrolladores verificados antes de descargar extensiones, revisen los permisos solicitados, examinen las reseñas y se abstengan de usar extensiones similares.
Dicho esto, también vale la pena tener en cuenta que las calificaciones podrían manipularse e inflarse artificialmente al filtrar los comentarios negativos de los usuarios.
DomainTools, en un análisis publicado a fines del mes pasado, encontró evidencia de extensiones que se hacían pasar por DeepSeek y que redirigían a los usuarios que proporcionaban calificaciones bajas (1 a 3 estrellas) a un formulario de comentarios privado en el dominio ai-chat-bot[.]pro, mientras que enviaban a los que proporcionaban calificaciones altas (4 a 5 estrellas) a la página oficial de revisión de Chrome Web Store.
Fuente y redacción: thehackernews.com
