Un actor de amenazas conocido como shadypanda se ha vinculado a una campaña de extensión de navegador que ha durado siete abriles y que ha acumulado más de 4,3 millones de instalaciones a lo espléndido del tiempo.
Cinco de estas extensiones comenzaron como programas legítimos antaño de que se introdujeran cambios maliciosos a mediados de 2024, según un mensaje de Koi Security, que atrajeron 300.000 instalaciones. Desde entonces, estas extensiones han sido eliminadas.
“Estas extensiones ahora ejecutan código remoto cada hora: descargan y ejecutan JavaScript caprichoso con comunicación completo al navegador”, dijo el investigador de seguridad Tuval Admoni en un mensaje compartido con The Hacker News. “Supervisan cada turista al sitio web, filtran el historial de navegación criptográfico y recopilan huellas digitales completas del navegador”.
Para empeorar las cosas, una de las extensiones, Clean Master, fue presentada y verificada por Google en un momento. Este deporte de creación de confianza permitió a los atacantes ampliar su colchoneta de usuarios y transmitir silenciosamente actualizaciones maliciosas abriles posteriormente sin despertar sospechas.
Mientras tanto, otro conjunto de cinco complementos del mismo editor está diseñado para controlar cada URL visitada por sus usuarios, así como registrar consultas en motores de búsqueda y clics del mouse, y transmitir la información a servidores ubicados en China. Estas extensiones se han instalado en torno a de cuatro millones de veces, y solo WeTab representa tres millones de instalaciones.
Se dijo que se observaron los primeros signos de actividad maliciosa en 2023, cuando desarrolladores llamados “nuggetsno15” y “rocket Zhang” publicaron 20 extensiones en Chrome Web Store y 125 extensiones en Microsoft Edge, respectivamente. Todas las extensiones identificadas se hacen acontecer por fondos de pantalla o aplicaciones de productividad.
Se descubrió que estas extensiones participaban en fraude de afiliados al inyectar sigilosamente códigos de seguimiento cuando los usuarios visitaban eBay, Booking.com o Amazon para gestar comisiones ilícitas por las compras de los usuarios. A principios de 2024, el ataque pasó de inyecciones aparentemente inofensivas a un control activo del navegador mediante la redirección de consultas de búsqueda, la colección de consultas de búsqueda y la exfiltración de cookies de dominios específicos.
“Cada búsqueda en la web se redirigía a través de trovi.com, un conocido secuestrador de navegador”, dijo Koi. “Consultas de búsqueda registradas, monetizadas y vendidas. Resultados de búsqueda manipulados con fines de ganancia”.
En algún momento a mediados de 2024, cinco extensiones, tres de las cuales habían estado funcionando legítimamente durante abriles, se modificaron para distribuir una aggiornamento maliciosa que introducía una funcionalidad similar a una puerta trasera al corroborar el dominio “api.extensionplay(.)com” una vez cada hora para recuperar una carga útil de JavaScript y ejecutarla.
La carga útil, por su parte, está diseñada para monitorear cada turista al sitio web y dirigir los datos en formato criptográfico a un servidor ShadyPanda (“api.cleanmasters(.)store”), contiguo con una huella digital detallada del navegador. Encima de utilizar una amplia ofuscación para ocultar la funcionalidad, cualquier intento de aceptar a las herramientas de avance del navegador provoca que éste cambie a un comportamiento afectuoso.
Encima, las extensiones pueden realizar ataques de adversario en el medio (AitM) para proveer el robo de credenciales, el secuestro de sesiones y la inyección de código caprichoso en cualquier sitio web.
La actividad pasó a la etapa final cuando otras cinco extensiones publicadas en torno a de 2023 en el centro de complementos de Microsoft Edge, incluido WeTab, aprovecharon su enorme colchoneta de instalación para permitir una vigilancia integral, incluida la colección de cada URL visitada, consultas de búsqueda, clics del mouse, cookies y huellas digitales del navegador.
Igualmente vienen equipados con capacidades para resumir información sobre cómo interactúa una víctima con una página web, como el tiempo dedicado a verla y el comportamiento de desplazamiento. La extensión WeTab todavía está adecuado para descargar al momento de escribir este artículo.
Los hallazgos pintan el panorama de una campaña sostenida que se desarrolló en cuatro fases distintas, convirtiendo progresivamente las extensiones del navegador de una aparejo legítima a un software informador de colección de datos. Sin incautación, junto a señalar que no está claro si los atacantes inflaron artificialmente las descargas para darles una ilusión de licitud.
Se recomienda a los usuarios que instalaron las extensiones que las eliminen inmediatamente y roten sus credenciales por precaución.
“El mecanismo de aggiornamento cibernética, diseñado para permanecer a los usuarios seguros, se convirtió en el vector de ataque”, afirmó Koi. “El proceso de aggiornamento confiable de Chrome y Edge entregó silenciosamente malware a los usuarios. Sin phishing. Sin ingeniería social. Solo extensiones confiables con versiones silenciosas que convirtieron las herramientas de productividad en plataformas de vigilancia”.
“El éxito de ShadyPanda no se prostitución sólo de sofisticación técnica. Se prostitución de explotar sistemáticamente la misma vulnerabilidad durante siete abriles: los mercados revisan las extensiones en el momento del remisión. No observan lo que sucede posteriormente de la aprobación”.
