Un actor de amenaza desconocido se ha atribuido a crear varias extensiones de navegador de Chrome astuto desde febrero de 2024 que se disfrazan de utilidades aparentemente benignas pero incorporan funcionalidad ajuste para exfiltrar datos, acoger comandos y ejecutar código infundado.
“El actor crea sitios web que se disfrazan de servicios legítimos, herramientas de productividad, creación de anuncios y medios de comunicación o asistentes de disección, servicios VPN, criptográficos, bancos y más para dirigir a los usuarios a instalar extensiones maliciosas correspondientes en la tienda web Chrome (CWS) de Google”, el equipo de Domaedools Intelligence (DTI) dijo en un documentación compartido con las noticiero de piratas informáticos.
Si correctamente los complementos del navegador parecen ofrecer las características anunciadas, además permiten el robo de credenciales y cookies, secuestro de sesiones, inyección de AD, redirecciones maliciosas, manipulación de tráfico y phishing a través de la manipulación DOM.
Otro negociador que funciona a honra de las extensiones es que están configurados para otorgarse permisos excesivos a través del archivo Manifest.json, lo que les permite interactuar con cada sitio visitado en el navegador, ejecutar código infundado recuperado de un dominio controlado por el atacante, realizar redireccionamientos maliciosos e incluso anuncios inyectados.
Igualmente se ha antitético que las extensiones se basan en el compensador de eventos “OnReset” en un hábitat del maniquí de objeto de documento temporal (DOM) para ejecutar código, probablemente en un intento de evitar la Política de seguridad de contenido (CSP).
Algunos de los sitios web de señores identificados se hacen acontecer por productos y servicios legítimos como Deepseek, Manus, DeBank, FortivPN y las estadísticas del sitio para atraer a los usuarios a descargar e instalar las extensiones. Los complementos luego proceden a Harvest Browser Cookies, obtienen scripts arbitrarios de un servidor remoto y configuran una conexión WebSocket para proceder como un proxy de red para el enrutamiento de tráfico.
Actualmente no hay visibilidad sobre cómo las víctimas son redirigidas a los sitios falsos, pero Domainteols le dijo a la publicación que podría involucrar métodos habituales como el phishing y las redes sociales.
“Conveniente a que aparecen tanto en la tienda web de Chrome como en los sitios web adyacentes, pueden regresar de los resultados en las búsquedas web normales y para las búsquedas en el interior de la tienda Chrome”, dijo la compañía. “Muchos de los sitios web de Lure utilizaron ID de seguimiento de Facebook, lo que sugiere fuertemente que están aprovechando las aplicaciones de Facebook / Meta de alguna modo para atraer a los visitantes del sitio. Posiblemente a través de páginas de Facebook, grupos e incluso anuncios”.
Al escribir, no se sabe quién está detrás de la campaña, aunque los actores de amenaza han establecido más de 100 sitios web falsos y extensiones de cromo maliciosas. Google, por su parte, ha eliminado las extensiones.
Para mitigar los riesgos, se aconseja a los usuarios que se mantengan con desarrolladores verificados antiguamente de descargar extensiones, revisar los permisos solicitados, examinar las revisiones y sustraerse de usar extensiones parecidas.
Dicho esto, además vale la pena tener en cuenta que las calificaciones podrían ser manipuladas e infladas artificialmente filtrando la feedback negativa de los usuarios.
Domaineols, en un disección publicado a fines del mes pasado, encontró evidencia de extensiones que se esfuerzan por unsee profundo que redirigió a los usuarios que proporcionan bajas calificaciones (1-3 estrellas) a un formulario de feedback privada en el dominio profesional AI-Chat-Bot (.), Al tiempo que envían aquellos que proporcionan altas calificaciones (4-5 estrellas) a la página oficial de revisión de la tienda web de Chrome.
