Una sofisticada campaña de malware ha infectado a más de 1.7 millones de usuarios de Chrome a través de once extensiones de navegador aparentemente legítimas, todas las cuales llevaron la insignia verificada de Google y la ubicación destacada en la tienda web de Chrome.
La campaña “Maliciosa11”, descubierta por investigadores de ciberseguridad de KOI Security, representa una de las operaciones de secuestro de navegador más grandes jamás documentadas, explotando las señales de confianza que los usuarios confían para identificar extensiones seguras.
La operación perfecta de caballo de troyano
Las extensiones maliciosas se basaron en herramientas populares de productividad y entretenimiento en diversas categorías, incluidos teclados emoji, pronósticos meteorológicos, controladores de velocidad de video, proxies VPN para discordia y tiktok, temas oscuros, refuerzos de volumen y desbloqueadores de YouTube.
Lo que hizo que esta campaña fuera particularmente tortuosa fue que cada extensión entregó exactamente lo que prometió al implementar simultáneamente capacidades sofisticadas de vigilancia y secuestro.
La investigación comenzó cuando los investigadores analizaron “Color Picker, Eyedropper – GeCo Colorpick”, una extensión con más de 100,000 instalaciones y más de 800 revisiones.
A pesar de aparecer completamente legítimo y mantener el estado verificado, la extensión estaba secuestramente los navegadores de los usuarios, rastreando cada visita al sitio web y manteniendo un comando persistente y control de puerta trasera.
Quizás lo más preocupante es cómo se implementó el malware. Estas no fueron extensiones maliciosas desde el primer día: operaron legítimamente durante años antes de volverse maliciosas a través de actualizaciones de versión.
La base de código de cada extensión permaneció limpia, a veces durante años, antes de que el malware se implementara a través de actualizaciones automáticas que se instalaron en silencio para más de 1.7 millones de usuarios.
“Debido a cómo Google maneja las actualizaciones de extensión del navegador, estas versiones se instalan automáticamente en silencio”, los investigadores “, los investigadores anotado. “Sin phishing. Sin ingeniería social. Acabo de confiar en extensiones con un aumento de la versión tranquila”.
Secuestro de navegador sofisticado
El malware implementa un sofisticado mecanismo de secuestro del navegador que se activa cada vez que los usuarios navegan a una nueva página.
Oculto dentro del trabajador de servicio de fondo de cada extensión es un código que monitorea toda la actividad de las pestañas, capturando URL y enviándolas a servidores remotos junto con identificadores de seguimiento únicos.
Esto crea una capacidad masiva persistente del hombre en el medio que puede explotarse en cualquier momento.
Por ejemplo, los usuarios que hacen clic en las invitaciones de reuniones de zoom podrían redirigirse a páginas falsas alegando que necesitan descargar “actualizaciones críticas” o las sesiones bancarias podrían interceptarse y redirigirse a réplicas perfectas de píxeles alojadas en los servidores de los atacantes.
La campaña Maliciosa11 expone fallas sistémicas en la seguridad del mercado. El proceso de verificación de Google no pudo detectar malware sofisticado en once extensiones diferentes, en lugar de promover varias a través de insignias de verificación y colocación destacada.
Los atacantes explotaron con éxito cada señal de fideicomiso en las que los usuarios confían: insignias de verificación, recuentos de instalación, colocación destacada, años de operación legítima y revisiones positivas.
Los usuarios deben eliminar inmediatamente las extensiones afectadas, borrar los datos del navegador para eliminar los identificadores de seguimiento almacenado, ejecutar escaneos de malware del sistema completo y monitorear cuentas para actividades sospechosas.
El incidente destaca la necesidad urgente de mejorar los mecanismos de seguridad del mercado a medida que los actores de amenaza evolucionan más allá de los ataques individuales para crear una infraestructura integral que pueda permanecer inactiva durante años antes de la activación.
Esta campaña representa un momento decisivo en la seguridad de la extensión del navegador, lo que demuestra cómo el modelo actual de seguridad del mercado está fundamentalmente roto.
Alerta de seminario web exclusivo: aprovechar las innovaciones del procesador Intel® para la seguridad avanzada de API – Regístrese gratis
.webp?w=1600&resize=1600,900&ssl=1){kind=link}