Clicky

Hackean 16 extensiones de Chrome y exponen a más de 600.000 usuarios al robo de datos

extensiones hackeadas de Chrome

Engañaron a empleados mediante correos electrónicos de phishing

Una nueva campaña de ataque se ha dirigido a conocidas extensiones del navegador Chrome, lo que ha provocado que al menos 16 extensiones se vean comprometidas y expongan a más de 600.000 usuarios a la exposición de datos y al robo de credenciales.

El ataque se dirigió a los editores de extensiones de navegador en Chrome Web Store a través de una campaña de phishing y utilizó sus permisos de acceso para insertar código malicioso en extensiones legítimas con el fin de robar cookies y tokens de acceso de usuarios.

La primera empresa en caer víctima de la campaña fue la firma de ciberseguridad Cyberhaven, uno de cuyos empleados fue blanco de un ataque de phishing el 24 de diciembre, lo que permitió a los actores de la amenaza publicar una versión maliciosa de la extensión.

El 27 de diciembre, Cyberhaven reveló que un actor de amenazas comprometió su extensión de navegador e inyectó código malicioso para comunicarse con un servidor de comando y control (C&C) externo ubicado en el dominio cyberhavenext[.]pro, descargar archivos de configuración adicionales y exfiltrar datos del usuario.

El correo electrónico de phishing, que supuestamente provenía del soporte para desarrolladores de Google Chrome Web Store, buscaba inducir una falsa sensación de urgencia al afirmar que su extensión corría el riesgo inminente de ser eliminada de la tienda de extensiones citando una violación de las políticas del programa para desarrolladores.

También instaba al destinatario a hacer clic en un enlace para aceptar las políticas, tras lo cual era redirigido a una página para otorgar permisos a una aplicación OAuth maliciosa llamada "Extensión de política de privacidad".

"El atacante obtuvo los permisos necesarios a través de la aplicación maliciosa ('Privacy Policy Extension') y subió una extensión maliciosa de Chrome a Chrome Web Store", dijo Cyberhaven. "Después del proceso habitual de revisión de seguridad de Chrome Web Store, la extensión maliciosa fue aprobada para su publicación".

"Las extensiones del navegador son la parte vulnerable de la seguridad web", afirma Or Eshed, director ejecutivo de LayerX Security, que se especializa en seguridad de extensiones del navegador. "Si bien tendemos a pensar que las extensiones del navegador son inofensivas, en la práctica, con frecuencia se les conceden amplios permisos para información confidencial del usuario, como cookies, tokens de acceso, información de identidad y más.

"Muchas organizaciones ni siquiera saben qué extensiones tienen instaladas en sus puntos finales y no son conscientes del alcance de su exposición", afirma Eshed.

Jamie Blasco, director de tecnología de la empresa de seguridad SaaS Nudge Security, identificó dominios adicionales que se resuelven en la misma dirección IP del servidor C&C utilizado para la filtración de Cyberhaven.

Una investigación más profunda ha descubierto más extensiones [Google Sheets] que se sospecha que han sido comprometidas, según la plataforma de seguridad de extensiones de navegador Secure Annex.

Estas extensiones comprometidas adicionales indican que Cyberhaven no fue un objetivo aislado, sino parte de una campaña de ataque a gran escala dirigida a extensiones legítimas del navegador.

El fundador de Secure Annex, John Tuckner, dijo que existe la posibilidad de que la campaña haya estado en curso desde el 5 de abril de 2023, y probablemente incluso antes según las fechas de registro de los dominios utilizados: nagofsg[.]com se registró en agosto de 2022 y sclpfybn[.]com se registró en julio de 2021.

"He vinculado el mismo código presente en los ataques de Cyberhaven con un código relacionado (digamos Code1) en una extensión llamada 'Reader Mode'", dijo Tuckner. "El código en 'Reader Mode' contenía el código del ataque de Cyberhaven (Code1) y un indicador adicional de compromiso 'sclpfybn[.]com' con su propio código adicional (Code2)".

"Al centrarme en ese dominio, llegué a las siete extensiones nuevas. Una de esas extensiones relacionadas, llamada "Rewards Search Automator", tenía (Code2) que se enmascaraba como una función de "navegación segura", pero que estaba extrayendo datos".

"'Rewards Search Automator' también contenía una funcionalidad de 'comercio electrónico' enmascarada (Código3) con un nuevo dominio 'tnagofsg[.]com' que es funcionalmente muy similar a 'safe-browsing'. Al buscar más en este dominio, encontré 'Earny - Up to 20% Cash Back' que todavía tiene el código de 'comercio electrónico' (Código3) y se actualizó por última vez el 5 de abril de 2023".

En cuanto al complemento Cyberhaven comprometido, el análisis indica que el código malicioso apuntaba a datos de identidad y tokens de acceso de cuentas de Facebook, principalmente con la intención de identificar a los usuarios de Facebook Ads:

datos robados de Facebook

Imagen: Datos de usuario recopilados por la extensión del navegador Cyberhaven comprometida (fuente: Cyberhaven)

Cyberhaven afirma que la versión maliciosa de la extensión del navegador fue eliminada aproximadamente 24 horas después de su lanzamiento. Algunas de las otras extensiones expuestas también fueron actualizadas o eliminadas de Chrome Web Store.

Sin embargo, el hecho de que la extensión haya sido eliminada de la tienda de Chrome no significa que la vulnerabilidad haya terminado, afirma Or Eshed. "Mientras la versión comprometida de la extensión siga activa en el punto final, los piratas informáticos podrán acceder a ella y extraer datos", afirma.

Los investigadores de seguridad continúan buscando extensiones expuestas adicionales, pero la sofisticación y el alcance de esta campaña de ataque han aumentado la apuesta de muchas organizaciones por proteger sus extensiones de navegador.

En este momento no está claro quién está detrás de la campaña y si estos ataques están relacionados.

Jesus_Caceres