Se ha descubierto una nueva extensión de Chrome malicioso dirigido a los especialistas en marketing digital al disfrazarse como una herramienta de productividad para las campañas de meta publicidad.
Apodado “Madgicx Plus”, esta extensión se distribuye a través de una red de sitios web engañosos que se hacen pasar por plataformas publicitarias legítimas con IA.
En lugar de optimizar el rendimiento de los anuncios, la extensión aprovecha los poderosos permisos del navegador para secuestrar sesiones de usuario y exfiltrar tokens de inicio de sesión para Facebook e Instagram.
Los operadores de la campaña han reutilizado la infraestructura de extensiones maliciosas anteriores, lo que demuestra una amenaza en evolución que adapta los señuelos de ingeniería social a las tendencias actuales de marketing digital.
Los canales de distribución de la extensión implementan dominios diseñados profesionalmente, como la privacidad shield. World y Madgicxads.world, que imitan los servicios de análisis y optimización reales.
Se alienta a los visitantes a instalar la extensión bajo la pretensión de aumentar el ROI de la campaña, solo para otorgarle el acceso completo al host y las capacidades de intercepción de solicitud de red.
Analistas de Cybereason anotado que una vez instalado, la extensión inyecta scripts de contenido en cada página visitada, lo que permite la recolección en tiempo real de entradas de formulario y cookies de sesión.
Este nivel de acceso permite a los atacantes evitar las políticas de seguridad de contenido e interactuar directamente con las API internas de Meta.
Las evaluaciones de impacto revelan que las credenciales comprometidas pueden conducir a modificaciones no autorizadas de los presupuestos publicitarios, la creación de nuevas campañas y la adquisición completa de las cuentas comerciales.
Las pequeñas y medianas empresas, que a menudo carecen de equipos de seguridad dedicados, tienen un riesgo particularmente alto, ya que rutinariamente delegan la gestión de anuncios a las herramientas de terceros.
La facilidad con la que la extensión tira el encabezado de origen HTTP de las solicitudes de salida ilustra aún más su capacidad para ataques sin interrupciones del hombre en el navegador.
Las víctimas pueden permanecer inconscientes hasta que observen cargos de facturación inexplicables o campañas faltantes en sus paneles de gerentes de Meta Business.
Madgicx Extension está vinculada por WWW (.) Web-Radar (.) Mundo (Fuente-Cyberazon)
Bajo el pretexto de una herramienta legítima, la extensión manifiesta.json otorga host_permissions para “” y aprovecha las reglas declaradas de referencia para eliminar los encabezados de origen de cualquier solicitud que coincida con el patrón “llamado = ext”.
Esta capacidad, combinada con scripts de fondo que reenvían los tokens robados a un servidor de comando y control, sustenta un marco de robo de datos sofisticado.
Las direcciones IP reales detrás de los proxies de Cloudflare se identificaron a través del análisis de hash de Favicon y las consultas de Shodan, lo que lleva a una infraestructura propiedad de VDSINA, un ISP previamente vinculado a alojamiento de recursos maliciosos.
Mecanismo de infección
Tras la instalación, el manifiesto de la extensión desencadena la inyección automática de un script de fondo que monitorea los eventos de navegación del navegador.
La extensión del radar web, parte de la misma campaña, fue vinculada por Web-Radar (.) World y desde entonces ha sido eliminada de la tienda Chrome (fuente-Cyberazon)
El fragmento a continuación ilustra cómo la extensión intercepta los envíos de formulario para capturar tokens de autenticación:-
// manifest.json extracto {“host_permissions”: (“”), “permisos”: (“declareAtivenRequest”, “declareAdivenTrequestwithhostAccess”), “content_scripts”: ({“coincides”: (“*: //*/*”), “js”: (“backsing.iLe.Js”)})
El núcleo del ataque reside en el fondo.iife.js, que establece los oyentes para las solicitudes de XHR a los puntos finales OAuth de Facebook.
Cuando el usuario inicia sesión, el script extrae el “access_token” de la respuesta JSON y la almacena en el almacenamiento local antes de transmitirlo al dominio C2 malicioso en Madgicx-plus.com.
Al despojar el encabezado de origen con una regla de DeclarativenLequest, la extensión evade las verificaciones del mismo origen e integra perfectamente tokens robados en sesiones controladas por los atacantes:—-
// background.iife.js fnippet chrome.webrequest.onbeforesendheaders.addListener (detalles => {Detalless.Requestheaders = Detalles.requestheaders.filter (h => h.name! == ‘Origin’); return {requestheaders: detalles.Requestheaders};}, {urls: (“*: //*.facebook.com/*”)}, (“Bloqueo”, “Requestheaders”));
A través de estos mecanismos, los atacantes obtienen acceso persistente al meta entorno de la víctima sin activar alertas estándar del navegador.
La combinación de la extensión de amplios permisos, técnicas de derivación de CSP y exfiltración de token encubierto marca una escalada significativa en las amenazas basadas en el navegador contra los anuncios de las redes sociales.
Los equipos de seguridad deben priorizar las auditorías de extensión, restringir los permisos innecesarios y aislar los flujos de trabajo publicitarios a los perfiles dedicados para mitigar tales riesgos.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
