Una extensa y compleja operación de malware, denominada «Malicious11», ha afectado a más de 1.7 millones de usuarios de Chrome. Esta campaña se llevó a cabo a través de once extensiones de navegador que parecían ser legítimas, todas ellas con la verificación de Google y una posición destacada en la Chrome Web Store.
Detalles de la Campaña y sus Implicaciones
Descubierta por expertos en ciberseguridad de Koi Security, «Malicious11» ha sido identificada como una de las operaciones de secuestro de navegador más grandes registradas. Su estrategia consistió en aprovechar las propias insignias de confianza que los usuarios utilizan para identificar extensiones seguras, convirtiendo estas señales de seguridad en un medio para distribuir el software malicioso.
La Estrategia del «Caballo de Troya»
Las extensiones comprometidas se presentaron como herramientas de productividad y entretenimiento ampliamente utilizadas, abarcando categorías como teclados de emoji, aplicaciones de pronóstico del tiempo, controladores de velocidad de video, servicios de proxy VPN para plataformas como Discord y TikTok, temas oscuros, amplificadores de volumen y desbloqueadores de YouTube. La astucia de esta campaña radicó en que cada extensión cumplía su función prometida, mientras que, de forma encubierta, implementaba sofisticadas capacidades de vigilancia y secuestro de navegador.
La investigación de Koi Security se inició al analizar «Selector de color, cuentagotas – Geco colorpick», una extensión que contaba con más de 100,000 instalaciones y más de 800 reseñas.
A pesar de parecer completamente legítima y mantener un estado verificado, la extensión secuestraba secretamente los navegadores de los usuarios, rastreaba cada visita al sitio web y mantenía una puerta trasera de comando y control persistente.
Quizás lo más preocupante sea cómo se implementó el malware. Estas no fueron extensiones maliciosas desde el primer día: operaron legítimamente durante años antes de volverse maliciosas debido a las actualizaciones de versión.
La base de código de cada extensión permaneció limpia, a veces durante años, antes de que se implementara el malware mediante actualizaciones automáticas que se instalaron silenciosamente para más de 1,7 millones de usuarios.
«Debido a la forma en que Google maneja las actualizaciones de las extensiones del navegador, estas versiones se instalan automáticamente de forma silenciosa», señalaron los investigadores. «Sin phishing. Sin ingeniería social. Sólo extensiones confiables con una versión silenciosa».
El malware implementa un sofisticado mecanismo de secuestro del navegador que se activa cada vez que los usuarios navegan a una nueva página.
Oculto dentro del trabajador de servicio en segundo plano de cada extensión hay un código que monitorea toda la actividad de las pestañas, captura las URL y las envía a servidores remotos junto con identificadores de seguimiento únicos.
Esto crea una capacidad masiva y persistente de intermediario que puede explotarse en cualquier momento.
Por ejemplo, los usuarios que hacen clic en las invitaciones a reuniones de Zoom podrían ser redirigidos a páginas falsas que afirman que necesitan descargar “actualizaciones críticas”, o las sesiones bancarias podrían ser interceptadas y redirigidas a réplicas de píxeles perfectos alojadas en los servidores de los atacantes.
La campaña Malicious11 expone fallas sistémicas en la seguridad del mercado. El proceso de verificación de Google no pudo detectar malware sofisticado en once extensiones diferentes, sino que promovió varias a través de insignias de verificación y ubicaciones destacadas.
Los atacantes explotaron con éxito todas las señales de confianza en las que confían los usuarios: insignias de verificación, recuentos de instalaciones, ubicación destacada, años de funcionamiento legítimo y críticas positivas.
Mitigaciones
Los usuarios deben eliminar inmediatamente cualquier extensión afectada, borrar los datos del navegador para eliminar los identificadores de seguimiento almacenados, ejecutar análisis completos de malware del sistema y monitorear las cuentas en busca de actividad sospechosa.
El incidente resalta la necesidad urgente de mejorar los mecanismos de seguridad del mercado a medida que los actores de amenazas evolucionan más allá de los ataques individuales para crear una infraestructura integral que puede permanecer inactiva durante años antes de su activación.
Esta campaña representa un momento decisivo en la seguridad de las extensiones de navegador y demuestra cómo el modelo de seguridad actual del mercado está fundamentalmente roto.
