Los investigadores de seguridad del equipo de investigación de amenazas de Socket han descubierto una red sofisticada de ocho extensiones maliciosas del navegador Firefox que roban activamente tokens OAuth, contraseñas y espías a los usuarios a través de tácticas engañosas.
El descubrimiento revela una campaña coordinada que explota títulos de juego populares y aplicaciones de utilidad para comprometer la seguridad de los usuarios en todo el ecosistema de Firefox.
Red de fraude de extensión de juego principal descubierta
La investigación inicialmente comenzó con una sola extensión maliciosa llamada “Shell Shockers”, pero rápidamente se expandió para revelar una red completa de extensiones de juegos falsas operadas por el actor de amenaza MRE1903.
Este cibercriminal, activo desde junio de 2018, ha creado sistemáticamente extensiones fraudulentas que se disfrazan de juegos populares, incluidos Little Alchemy 2, 1V1.Lol, Krunker IO Game, Five Nights at Freddy’s y Bubble Spinner.
Estas extensiones maliciosas explotan la confianza del usuario al hacerse pasar por los juegos queridos con millones de jugadores en todo el mundo.
Sin embargo, en lugar de proporcionar una funcionalidad de juego real, inmediatamente redirigen a los usuarios a los sitios web de juegos de azar y las páginas de estafa de alerta de virus de Apple falsifican al instalar.
El enfoque del actor de amenaza demuestra una campaña coordinada diseñada para maximizar el alcance mientras evade la detección a través de la implementación distribuida en múltiples títulos de juegos populares.
Más allá de las simples estafas de redirección, los investigadores identificaron varias extensiones que emplean técnicas de ataque sofisticadas. Calsyncmaster, disfrazada de una herramienta legítima de sincronización del calendario de Google, representa la amenaza más grave en el análisis.
Esta extensión implementa operaciones avanzadas de robo de credenciales OAuth, robando tokens de autenticación de Google que proporcionan acceso continuo a datos personales y comerciales confidenciales.
El código malicioso se dirige específicamente a Google Calendar Apis, solicitando permisos de solo lectura que permitan a los atacantes visibilidad persistente en los horarios de reuniones de los usuarios, planes de viaje, actividades comerciales e información de contacto.
Los expertos en seguridad advierten que la arquitectura de la extensión permite una fácil escalada de alcance, lo que puede permitir la manipulación de eventos o la eliminación de datos a través de actualizaciones simples.
La VPN toma una extensión gratuita proxy, comercializada como un servicio VPN centrado en la privacidad, rastrea en secreto a los usuarios inyectando seguimiento invisible de seguimiento y enrutando todo el tráfico web a través de proxies controlados por atacantes.
Esta configuración permite una vigilancia integral de las actividades del usuario, incluida la intercepción potencial de las credenciales de inicio de sesión, la información personal y las comunicaciones privadas.
Mientras tanto, la extensión de GimmeGimme se dirige a sitios de compras europeos como Bol.com y Coolblue.nl, prometiendo funcionalidad de la lista de deseos mientras redirige en secreto las sesiones de compras a través de enlaces de seguimiento de afiliados.
Los usuarios, sin saberlo, generan ingresos para los atacantes mientras se les niega las características prometidas, que representan una clara violación de la confianza del usuario y la transparencia.
Creciente paisaje de amenaza de extensión del navegador
Los descubrimientos destacan una tendencia más amplia en las amenazas de ciberseguridad. Las extensiones del navegador se han vuelto cada vez más favorecidos de los vectores de ataque debido a su estado de confianza, permisos extensos y capacidad para ejecutar dentro de los contextos de seguridad de los navegadores.
La progresión de las estafas de redirección simples al robo de credenciales de oauth demuestra cuán rápido evolucionan y escaman estas amenazas.
Expertos en seguridad recomendar Que los usuarios auditen regularmente las extensiones de navegador instaladas, eliminando cualquiera de los permisos de solicitud que excedan su funcionalidad establecida.
Las organizaciones deben implementar las listas de permisos de extensión en entornos corporativos y monitorear el tráfico de red para configuraciones proxy inesperadas o comunicaciones externas sospechosas.
El equipo de investigación de amenazas de Socket enfatiza que estas amenazas requieren una vigilancia constante tanto de usuarios individuales como de organizaciones.
La combinación de tácticas de ingeniería social con sofisticación técnica hace que estas extensiones sean particularmente efectivas contra los usuarios desprevenidos que confían en los nombres de juegos y promesas de utilidades familiares.
Los usuarios deben revisar inmediatamente sus extensiones de Firefox instaladas y eliminar cualquiera que coincida con las aplicaciones maliciosas identificadas para proteger sus datos personales y credenciales de autenticación.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
