Investigadores de ciberseguridad han descubierto dos extensiones maliciosas de Google Chrome con el mismo nombre y publicadas por el mismo desarrollador que vienen con capacidades para interceptar el tráfico y capturar las credenciales de los usuarios.
Las extensiones se anuncian como un “complemento de prueba de velocidad de red multiubicación” para desarrolladores y personal de comercio extranjero. Entreambos complementos del navegador están disponibles para descargar al momento de escribir este artículo. Los detalles de las extensiones son los siguientes:
- Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) – 2000 usuarios (Publicado el 26 de noviembre de 2017)
- Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) – 180 usuarios (Publicado el 27 de abril de 2023)
“Los usuarios pagan suscripciones que van desde ¥9,9 a ¥95,9 CNY ($1,40 a $13,50 USD), creyendo que están comprando un servicio VPN verdadero, pero ambas variantes realizan operaciones maliciosas idénticas”, dijo el investigador de seguridad de Socket, Kush Pandya.
“Detrás de la frente de suscripción, las extensiones ejecutan una intercepción completa del tráfico a través de la inyección de credenciales de autenticación, operan como servidores proxy intermediarios y exfiltran continuamente datos del heredero al servidor C2 (comando y control) del actor de la amenaza”.
Una vez que los usuarios desprevenidos realizan el plazo, reciben el status VIP y las extensiones habilitan automáticamente el modo proxy “inteligente”, que dirige el tráfico de más de 170 dominios específicos a través de la infraestructura C2.
Las extensiones funcionan como se anuncia para acrecentar la ilusión de un producto práctico. Realizan pruebas de latencia reales en servidores proxy y muestran el estado de la conexión, mientras mantienen a los usuarios a oscuras sobre su objetivo principal, que es interceptar el tráfico de la red y robar credenciales.
Esto implica modificaciones maliciosas antepuestas a dos bibliotecas de JavaScript, a retener, jquery-1.12.2.min.js y scripts.js, que vienen incluidas con las extensiones. El código está diseñado para inyectar automáticamente credenciales de proxy codificadas (topfany/963852wei) en cada desafío de autenticación HTTP en todos los sitios web al registrar un escucha en chrome.webRequest.onAuthRequired.
“Cuando cualquier sitio web o servicio solicita autenticación HTTP (autenticación básica, autenticación implícita o autenticación de proxy), este escucha se activa antaño de que el navegador muestre una solicitud de credencial”, explicó Pandya. “Asegura inmediatamente con las credenciales de proxy codificadas, completamente transparentes para el heredero. El modo asyncBlocking garantiza la inyección sincrónica de credenciales, evitando cualquier interacción del heredero”.
Una vez que los usuarios se autentican en un servidor proxy, la extensión configura la configuración del proxy de Chrome utilizando un script de configuración cibernética de proxy (PAC) para implementar tres modos:
- cerrar, que desactiva la función de proxy
- siempre, que enruta todo el tráfico web a través del proxy
- Smarty, que enruta una directorio codificada de más de 170 dominios de parada valencia a través del proxy.
La directorio de dominios incluye plataformas de progreso (GitHub, Stack Overflow, Docker), servicios en la cúmulo (Amazon Web Services, Digital Ocean, Microsoft Azure), soluciones empresariales (Cisco, IBM, VMware), redes sociales (Facebook, Instagram, Twitter) y sitios de contenido para adultos. La inclusión de sitios pornográficos es probablemente un intento de chantajear a las víctimas, teorizó Socket.
El resultado neto de este comportamiento es que el tráfico web del heredero se enruta a través de servidores proxy controlados por actores de amenazas, mientras que la extensión mantiene un diástole de 60 segundos en su servidor C2 en el espacio phantomshuttle(.), un dominio que permanece eficaz. Incluso otorga al atacante una posición de “intermediario” (MitM) para capturar el tráfico, manipular respuestas e inyectar cargas bártulos arbitrarias.
Más importante aún, el mensaje de diástole transmite el correo electrónico, la contraseña en texto sin formato y el número de lectura de un heredero VIP a un servidor foráneo a través de una solicitud HTTP GET cada cinco minutos para una filtración continua de credenciales y monitoreo de sesión.
“La combinación de exfiltración de latidos (credenciales y metadatos) más proxy MitM (captura de tráfico en tiempo positivo) proporciona capacidades integrales de robo de datos que funcionan continuamente mientras la extensión permanece activa”, dijo Socket.
Dicho de otra guisa, la extensión captura contraseñas, números de tarjetas de crédito, cookies de autenticación, historial de navegación, datos de formularios, claves API y tokens de comunicación de los usuarios que acceden a los dominios específicos mientras el modo VIP está activo. Es más, el robo de secretos de los desarrolladores podría allanar el camino para ataques a la condena de suministro.
Actualmente no se sabe quién está detrás de la operación de ocho primaveras, pero el uso del idioma chino en la descripción de la extensión, la presencia de la integración Alipay/WeChat Pay para realizar pagos y el uso de Alibaba Cloud para encajar el dominio C2 apuntan a una operación con sede en China.
“El maniquí de suscripción crea retención de víctimas al mismo tiempo que genera ingresos, y la infraestructura profesional con integración de pagos presenta una frente de legalidad”, afirmó Socket. “Los usuarios creen que están comprando un servicio VPN y, sin saberlo, permiten un compromiso total del tráfico”.
Los hallazgos resaltan cómo las extensiones basadas en navegadores se están convirtiendo en una capa de peligro no administrada para las empresas. Se recomienda a los usuarios que hayan instalado las extensiones que las eliminen lo antaño posible. Para los equipos de seguridad, es esencial implementar listas de extensiones permitidas, monitorear extensiones con sistemas de plazo de suscripción combinados con permisos de proxy e implementar monitoreo de red para detectar intentos sospechosos de autenticación de proxy.
