el más reciente

― Advertisement ―

Relacionada

spot_img
InicioTecnología16 extensiones de Chrome pirateadas, exponiendo a más de 600.000 usuarios al...

16 extensiones de Chrome pirateadas, exponiendo a más de 600.000 usuarios al robo de datos

Una nueva campaña de ataque se ha dirigido a extensiones conocidas del navegador Chrome, lo que ha provocado que al menos 16 extensiones se vean comprometidas y exponga a más de 600.000 usuarios a la exposición de datos y al robo de credenciales.

El ataque se dirigió a los editores de extensiones de navegador en Chrome Web Store a través de una campaña de phishing y utilizó sus permisos de llegada para insertar código pillo en extensiones legítimas con el fin de robar cookies y tokens de llegada de usuarios.

La primera empresa que se supo que estuvo expuesta fue la empresa de ciberseguridad Cyberhaven.

El 27 de diciembre, Cyberhaven reveló que un actor de amenazas comprometió la extensión de su navegador e inyectó código pillo para comunicarse con un servidor de comando y control (C&C) extranjero sito en el dominio cyberhavenext(.)pro, descargar archivos de configuración adicionales y filtrar datos del heredero.

«Las extensiones de navegador son la parte más débil de la seguridad web», dice Or Eshed, director ejecutor de LayerX Security, que se especializa en seguridad de extensiones de navegador. «Aunque tendemos a pensar que las extensiones del navegador son inofensivas, en la habilidad, con frecuencia se les conceden amplios permisos para aceptar a información confidencial del heredero, como cookies, tokens de llegada, información de identidad y más.

«Muchas organizaciones ni siquiera saben qué extensiones han instalado en sus terminales y no son conscientes del resonancia de su exposición», afirma Eshed.

Una vez que se supo la mensaje de la violación de Cyberhaven, se identificaron rápidamente extensiones adicionales que igualmente estaban comprometidas y se comunicaban con el mismo servidor C&C.

Leer  Los piratas informáticos implementan paquetes npm maliciosos para robar claves de billetera Solana a través de SMTP de Gmail

Jamie Blasco, CTO de la empresa de seguridad SaaS Nudge Security, identificó dominios adicionales que se resuelven en la misma dirección IP del servidor C&C utilizado para la infracción de Cyberhaven.

Otras extensiones del navegador que actualmente se sospecha que han sido comprometidas incluyen:

  • Asistente de IA: ChatGPT y Gemini para Chrome
  • Extensión de chat de IA de Bard
  • Extracto de GPT 4 con OpenAI
  • Asistente de búsqueda Copilot AI para Chrome
  • Asistente de IA TinaMInd
  • Camino de la IA
  • VPNCiudad
  • VPN interna
  • Impresor de vídeo Vindoz Flex
  • Descargador de vídeos VidHelper
  • Cambiador de favoritos de Favicon
  • Castor
  • Voz
  • Modo leedor
  • Charlas de loros
  • Hornillo de camping

Estas extensiones adicionales comprometidas indican que Cyberhaven no era un objetivo único, sino parte de una campaña de ataque a gran escalera dirigida a extensiones legítimas del navegador.

El disección de Cyberhaven comprometido indica que el código pillo apuntaba a datos de identidad y tokens de llegada de cuentas de Facebook, y específicamente a cuentas comerciales de Facebook:

Datos de usuario recopilados por la extensión de navegador Cyberhaven comprometida (fuente: Cyberhaven)
Datos de heredero recopilados por la extensión de navegador Cyberhaven comprometida (fuente: Cyberhaven)

Cyberhaven dice que la interpretación maliciosa de la extensión del navegador se eliminó aproximadamente 24 horas posteriormente de su propagación. Algunas de las otras extensiones expuestas igualmente ya se actualizaron o eliminaron de Chrome Web Store.

Sin retención, el hecho de que la extensión haya sido eliminada de la tienda de Chrome no significa que la exposición haya terminado, dice Or Eshed. «Mientras la interpretación comprometida de la extensión siga activa en el terminal, los piratas informáticos aún pueden aceptar a ella y extraer datos», afirma.

Leer  HubPhish explota las herramientas de HubSpot para atacar a 20.000 usuarios europeos con robo de credenciales

Los investigadores de seguridad continúan buscando extensiones expuestas adicionales, pero la sofisticación y el resonancia de esta campaña de ataque han subido la puesta para que muchas organizaciones protejan las extensiones de sus navegadores.

El más popular

spot_img