Desde febrero de 2024, se ha identificado una campaña sofisticada que afecta a usuarios a nivel global a través de más de 100 extensiones maliciosas para el navegador Chrome.
Estas extensiones operan con una doble funcionalidad engañosa: aunque aparentemente cumplen con las características anunciadas, en segundo plano se conectan a servidores controlados por los atacantes. El objetivo es sustraer información sensible y ejecutar código arbitrario en los navegadores de las víctimas.
El actor de amenazas responsable de esta campaña ha establecido una extensa red de sitios web falsos, los cuales suplantan servicios legítimos. Entre ellos se encuentran herramientas de productividad, asistentes de inteligencia artificial, clientes VPN, plataformas de criptomonedas y servicios bancarios, con el fin de engañar a los usuarios.
Estos sitios engañosos dirigen a los usuarios desprevenidos a instalar las correspondientes extensiones maliciosas desde la Chrome Web Store oficial de Google, explotando la confianza inherente que los usuarios depositan en las medidas de seguridad de la plataforma.
Los investigadores de Domain Tools identificaron que estas extensiones solicitan permisos excesivos durante la instalación, lo que les otorga un amplio acceso a las actividades de navegación de los usuarios en todos los sitios web.
Los investigadores notaron que la arquitectura sofisticada permite a los atacantes filtrar credenciales de inicio de sesión, secuestrar sesiones activas, inyectar anuncios maliciosos, manipular el tráfico de la red y realizar ataques de phishing dirigidos mediante la manipulación de DOM.
Una vez instaladas, estas extensiones establecen canales de comunicación con una red de dominios controlados por atacantes mediante elaborados mecanismos de autenticación.
Las extensiones envían periódicamente datos del usuario y reciben comandos para su ejecución, creando una puerta trasera persistente en los navegadores de las víctimas.
El impacto potencial es grave, ya que los navegadores comprometidos pueden provocar apropiación de cuentas, robo financiero y violaciones de la privacidad en múltiples plataformas y servicios.
A pesar de las medidas de seguridad de Google, el actor ha demostrado una notable persistencia, y muchas extensiones permanecen disponibles durante períodos prolongados antes de ser detectadas y eliminadas.
La campaña explota específicamente las tecnologías de moda para aumentar las tasas de instalación, incluida la creación reciente de sitios web falsos que se hacen pasar por DeepSeek AI tras la atención de los medios.
Arquitectura de extensión e infraestructura de comando
Las extensiones maliciosas comparten características técnicas distintivas en su implementación.
Por lo general, contienen un script malicioso central (normalmente denominado “background.js” o “background.iife.js”) que establece la conexión con los servidores de comando y control.
Como se muestra en el siguiente extracto de manifest.json de una de esas extensiones, los permisos solicitados son extraordinariamente amplios:
«manifest_version»: 3,
«name»: «Crypto Whales Vision | Alert of Major Crypto Transactions»,
«version»: «3.0.1»,
«description»: «A system for tracking and analyzing large transactions on the Blockchain»,
«host_permissions»: [
«»
],
«permissions»: [
«storage»,
«management»,
«declarativeNetRequest»
],
«background»: {
«service_worker»: «background.js»
},
La sofisticación técnica se extiende al mecanismo de autenticación utilizado para comunicarse con la infraestructura del atacante. Las extensiones crean tokens JWT utilizando HMAC con algoritmo de firma SHA-256, combinando un UUID, el ID de extensión, la versión y el código de país.
En particular, la propia identificación de la extensión sirve como clave secreta para firmar la carga útil JWT, que luego se codifica en Base64 antes de la transmisión a los servidores de comando.
Esta técnica inteligente permite una autenticación segura entre la extensión y la infraestructura del atacante.
Después de una autenticación exitosa, las extensiones implementan un sistema de monitoreo que envía periódicamente mensajes «ping» e informes detallados sobre la actividad de navegación del usuario a los servidores de comando.
La capacidad más peligrosa observada es la función de ejecución remota de código, donde las extensiones reciben JavaScript arbitrario de servidores de comandos y lo ejecutan dentro del contexto de cualquier página web que visite el usuario.
Se observó que algunas extensiones implementaban capacidades maliciosas adicionales, incluido el robo de cookies utilizando “chrome.cookies.getAll({})” para extraer datos de autenticación de todos los sitios web y estableciendo conexiones WebSocket a dominios como “api.zorpleflux[.]top” para la recepción de comandos en tiempo real.
Estas extensiones también tienen la capacidad de implementar una funcionalidad de proxy inverso. Esto significa que los atacantes pueden enrutar su tráfico a través de los navegadores de las víctimas, lo que podría implicar a usuarios inocentes en actividades maliciosas.
Se aconseja encarecidamente a los usuarios que realicen auditorías periódicas de sus extensiones instaladas, examinen meticulosamente los permisos que solicitan y eliminen de inmediato cualquier extensión que consideren sospechosa.
A pesar de que Google sigue eliminando las extensiones maliciosas identificadas de la Chrome Web Store, la naturaleza cambiante de esta campaña exige una vigilancia constante por parte de todos los usuarios del navegador.
