Estas extensiones se han instalado alrededor de cuatro millones de veces
Un actor de amenazas conocido como ShadyPanda ha sido vinculado a una campaña de extensión de navegador que duró siete años y que ha acumulado más de 4,3 millones de instalaciones a lo largo del tiempo.
Cinco de estas extensiones comenzaron como programas legítimos antes de que se introdujeran cambios maliciosos a mediados de 2024, según un informe de Koi Security, y atrajeron 300.000 instalaciones. Estas extensiones han sido eliminadas desde entonces.
"Estas extensiones ahora ejecutan código remoto cada hora, descargando y ejecutando JavaScript arbitrario con acceso completo al navegador", declaró en un informe el investigador de seguridad Tuval Admoni. "Monitorean cada visita a un sitio web, extraen el historial de navegación cifrado y recopilan huellas digitales completas del navegador".
Para colmo, una de las extensiones, Clean Master, fue destacada y verificada por Google en un momento dado. Este ejercicio de confianza permitió a los atacantes ampliar su base de usuarios y publicar silenciosamente actualizaciones maliciosas años después, sin levantar sospechas.
Mientras tanto, otro conjunto de cinco complementos del mismo editor está diseñado para controlar cada URL visitada por sus usuarios, así como para registrar las consultas en buscadores y los clics del ratón, y transmitir la información a servidores ubicados en China. Estas extensiones se han instalado alrededor de cuatro millones de veces, y solo WeTab cuenta con tres millones de instalaciones.
Se dice que los primeros indicios de actividad maliciosa se observaron en 2023, cuando desarrolladores llamados "nuggetsno15" y "rocket Zhang" publicaron 20 extensiones en Chrome Web Store y 125 en Microsoft Edge, respectivamente. Todas las extensiones identificadas se hacían pasar por aplicaciones de fondos de pantalla o de productividad.
Se descubrió que estas extensiones incurrían en fraude de afiliación al inyectar sigilosamente códigos de seguimiento cuando los usuarios visitaban eBay, Booking.com o Amazon para generar comisiones ilícitas por sus compras. A principios de 2024, el ataque pasó de inyecciones aparentemente inofensivas a un control activo del navegador mediante la redirección y recolección de consultas de búsqueda, y la exfiltración de cookies de dominios específicos.
"Todas las búsquedas web se redirigían a través de trovi.com, un conocido secuestrador de navegadores", dijo Koi. "Las consultas de búsqueda se registraban, se monetizaban y se vendían. Los resultados de búsqueda se manipulaban para obtener ganancias".
En algún momento a mediados de 2024, cinco extensiones, tres de las cuales habían estado funcionando legítimamente durante años, fueron modificadas para distribuir una actualización maliciosa que introducía una funcionalidad similar a una puerta trasera al verificar el dominio "api.extensionplay[.]com" una vez por hora para recuperar una carga útil de JavaScript y ejecutarla.
La carga útil, por su parte, está diseñada para monitorizar cada visita al sitio web y enviar los datos cifrados a un servidor ShadyPanda ("api.cleanmasters[.]store"), junto con una huella digital detallada del navegador. Además de usar una ofuscación exhaustiva para ocultar la funcionalidad, cualquier intento de acceder a las herramientas de desarrollo del navegador provoca que este adopte un comportamiento inocuo.
Además, las extensiones pueden organizar ataques de adversario en el medio (AitM) para facilitar el robo de credenciales, el secuestro de sesiones y la inyección de código arbitrario en cualquier sitio web.
Se recomienda a los usuarios que instalaron las extensiones que las eliminen inmediatamente y cambien sus credenciales como medida de precaución.
