Un actor de amenazas llamado shadypanda se ha asociado con una campaña de extensión de navegador de siete años que ha acumulado más de 4,3 millones de instalaciones a lo largo del tiempo.
Según un informe de Koi Security, cinco de estas extensiones eran originalmente programas legítimos antes de que se introdujeran cambios maliciosos a mediados de 2024 que atrajeron 300.000 instalaciones. Estas extensiones ahora han sido desmanteladas.
“Estas extensiones ahora realizan la ejecución remota de código cada hora: descargan JavaScript arbitrario y lo ejecutan con acceso completo al navegador”, dijo el investigador de seguridad Tuval Admoni en un informe compartido con The Hacker News. “Supervisan cada visita al sitio web, filtran el historial de navegación cifrado y recopilan huellas digitales completas del navegador”.
Para empeorar las cosas, Google introdujo y revisó una de las extensiones, Clean Master, en algún momento. Esta medida de fomento de la confianza permitió a los atacantes ampliar su base de usuarios y publicar silenciosamente actualizaciones maliciosas años después sin despertar sospechas.
Mientras tanto, otro conjunto de cinco complementos del mismo editor está diseñado para realizar un seguimiento de cada URL visitada por sus usuarios, registrando consultas en los motores de búsqueda y clics del mouse y transmitiendo la información a servidores en China. Estas extensiones se instalaron aproximadamente cuatro millones de veces, y solo WeTab representó tres millones de instalaciones.
Se dijo que los primeros signos de actividad maliciosa se observaron en 2023, cuando desarrolladores llamados “nuggetsno15” y “rocket Zhang” lanzaron 20 extensiones en Chrome Web Store y 125 extensiones en Microsoft Edge, respectivamente. Todas las extensiones identificadas estaban disfrazadas de fondos de pantalla o aplicaciones de productividad.
Se ha descubierto que estas extensiones cometen fraude de afiliados al inyectar en secreto códigos de seguimiento cuando los usuarios visitan eBay, Booking.com o Amazon para generar comisiones ilegales por las compras de los usuarios. A principios de 2024, el ataque pasó de inyecciones aparentemente inofensivas a un control activo del navegador mediante la redirección de consultas de búsqueda, la recolección de consultas de búsqueda y la exfiltración de cookies de dominios específicos.
“Cada búsqueda en la web se redirigía a través de trovi.com, un conocido secuestrador de navegador”, dijo Koi. “Las consultas de búsqueda se registran, se monetizan y se venden. Los resultados de la búsqueda se manipulan con fines de lucro”.
En algún momento a mediados de 2024, se modificaron cinco extensiones, tres de las cuales habían estado funcionando correctamente durante años, para distribuir una actualización maliciosa que introducía una funcionalidad similar a una puerta trasera al verificar el dominio api.extensionplay(.)com una vez por hora para recuperar y ejecutar una carga útil de JavaScript.
La carga útil, a su vez, está diseñada para monitorear cada visita al sitio web y enviar los datos en formato cifrado, junto con una huella digital detallada del navegador, a un servidor ShadyPanda (“api.cleanmasters(.)store”). Además de una amplia ofuscación para ocultar la funcionalidad, cualquier intento de acceder a las herramientas de desarrollo del navegador provoca que éste cambie a un comportamiento inofensivo.
Además, las extensiones pueden realizar ataques Adversario en el Medio (AitM) para facilitar el robo de credenciales, el secuestro de sesiones y la inyección de código arbitrario en cualquier sitio web.
La actividad alcanzó sus etapas finales cuando se lanzaron cinco extensiones adicionales en Microsoft Edge Addons Hub alrededor de 2023, incluido WeTab, que aprovechó su enorme base de instalación para permitir un monitoreo integral, incluida la recopilación de todas las URL visitadas, consultas de búsqueda, clics del mouse, cookies y huellas digitales del navegador.
También están equipados con funciones para recopilar información sobre cómo interactúa una víctima con un sitio web, como el tiempo que pasa viendo el sitio web y el comportamiento de desplazamiento. La extensión WeTab todavía está disponible para descargar en el momento de escribir este artículo.
Los resultados muestran una imagen de una campaña sostenida que abarcó cuatro fases distintas y transformó gradualmente las extensiones del navegador de una herramienta legítima a un software espía de recopilación de datos. Sin embargo, no está claro si los atacantes inflaron artificialmente las descargas para darles una apariencia de legitimidad.
Por precaución, se recomienda a los usuarios que hayan instalado las extensiones que las eliminen inmediatamente y cambien sus credenciales de inicio de sesión.
“El mecanismo de actualización automática, destinado a garantizar la seguridad del usuario, se convirtió en un vector de ataque”, dijo Koi. “El proceso de actualización confiable de Chrome y Edge entregó silenciosamente malware a los usuarios. Sin phishing. Sin ingeniería social. Solo extensiones confiables con saltos de versión silenciosos que convirtieron las herramientas de productividad en plataformas de vigilancia”.
“El éxito de ShadyPanda no se trata sólo de sofisticación técnica. Se trata de explotar sistemáticamente la misma vulnerabilidad durante siete años: los mercados revisan las extensiones al momento de su envío. No observan lo que sucede después de la aprobación”.
About The Author
