Investigadores de ciberseguridad han descubierto dos extensiones maliciosas de Google Chrome con el mismo nombre, lanzadas por el mismo desarrollador, con capacidades para interceptar el tráfico y capturar las credenciales de los usuarios.
Las extensiones se anuncian como un “complemento de prueba de velocidad de red multiubicación” para desarrolladores y personal de comercio exterior. Ambos complementos del navegador están disponibles para descargar en el momento de escribir este artículo. El detalle de las ampliaciones es el siguiente:
- Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) – 2000 usuarios (publicado el 26 de noviembre de 2017)
- Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) – 180 usuarios (publicado el 27 de abril de 2023)
“Los usuarios pagan suscripciones entre ¥9,9 y ¥95,9 CNY ($1,40 a $13,50 USD) pensando que están comprando un servicio VPN legítimo, pero ambas variantes realizan operaciones maliciosas idénticas”, dijo el investigador de seguridad de Socket, Kush Pandya.
“Detrás de la fachada de suscripción, las extensiones interceptan completamente el tráfico inyectando credenciales de autenticación, actúan como intermediarios y exfiltran continuamente datos del usuario al servidor de comando y control (C2) del actor de amenazas”.
Una vez que los usuarios desprevenidos realizan el pago, se les otorga el estatus VIP y las extensiones activan automáticamente el modo proxy “Smarty”, que enruta el tráfico de más de 170 dominios de destino a través de la infraestructura C2.
Las extensiones funcionan como se anuncia para mejorar la ilusión de un producto funcional. Realizan pruebas de latencia reales en servidores proxy y muestran el estado de la conexión mientras mantienen a los usuarios adivinando su objetivo principal, que es interceptar el tráfico de la red y robar credenciales.
Estos son cambios maliciosos que se colocan delante de dos bibliotecas de JavaScript, a saber, jquery-1.12.2.min.js y scripts.js, que se incluyen con las extensiones. El código está diseñado para inyectar automáticamente credenciales de proxy codificadas (topfany/963852wei) en cada desafío de autenticación HTTP en todos los sitios web al registrar un oyente en chrome.webRequest.onAuthRequired.
“Cuando un sitio web o servicio solicita autenticación HTTP (autenticación básica, autenticación implícita o autenticación de proxy), este oyente se activa antes de que el navegador muestre una solicitud de credencial”, explicó Pandya. “Responde inmediatamente con las credenciales de proxy codificadas, completamente transparentes para el usuario. El modo asyncBlocking garantiza la inyección sincrónica de credenciales y evita cualquier interacción del usuario”.
Una vez que los usuarios se autentican con un servidor proxy, la extensión configura los ajustes del proxy de Chrome utilizando un script de configuración automática de proxy (PAC) para implementar tres modos:
- cerrar, que desactiva la función de proxy
- Siempre, que enruta todo el tráfico web a través del proxy
- Smarty, que reenvía una lista codificada de más de 170 dominios de alta calidad a través del proxy.
La lista de dominios incluye plataformas de desarrollo (GitHub, Stack Overflow, Docker), servicios en la nube (Amazon Web Services, Digital Ocean, Microsoft Azure), soluciones empresariales (Cisco, IBM, VMware), redes sociales (Facebook, Instagram, Twitter) y sitios de contenido para adultos. La inclusión de sitios pornográficos probablemente fue un intento de chantajear a las víctimas, sospechó Socket.
El resultado neto de este comportamiento es que el tráfico web de los usuarios se enruta a través de servidores proxy controlados por actores de amenazas, mientras que la extensión mantiene un latido de 60 segundos en su servidor C2 en el espacio Phantomshuttle(.), un dominio que permanece operativo. También otorga al atacante una posición de intermediario (MitM) para capturar el tráfico, manipular respuestas e inyectar cargas útiles arbitrarias.
Más importante aún, el mensaje de latido transmite la dirección de correo electrónico, la contraseña en texto plano y el número de versión de un usuario VIP a un servidor externo a través de una solicitud HTTP GET cada cinco minutos para permitir la exfiltración continua de credenciales y el monitoreo de sesiones.
“La combinación de Heartbeat Exfiltración (credenciales y metadatos) más Proxy-MitM (captura de tráfico en tiempo real) proporciona capacidades integrales de robo de datos que se ejecutan continuamente mientras la extensión permanece activa”, dijo Socket.
En otras palabras, la extensión recopila contraseñas, números de tarjetas de crédito, cookies de autenticación, historial de navegación, datos de formularios, claves API y tokens de acceso de los usuarios que acceden a los dominios de destino mientras el modo VIP está activo. Además, el robo de secretos de los desarrolladores podría allanar el camino para ataques a la cadena de suministro.
Actualmente se desconoce quién está detrás de la empresa de ocho años, pero el uso del idioma chino en la descripción de la extensión, la presencia de la integración Alipay/WeChat Pay para pagos y el uso de Alibaba Cloud para alojar el dominio C2 sugieren una empresa con sede en China.
“El modelo de suscripción crea lealtad en las víctimas al mismo tiempo que genera ingresos, y la infraestructura profesional con integración de pagos presenta una fachada de legitimidad”, dijo Socket. “Los usuarios creen que están comprando un servicio VPN y, sin saberlo, permiten un compromiso total del tráfico”.
Los hallazgos resaltan cómo las extensiones basadas en navegador se convierten en una capa de riesgo no administrada para las organizaciones. Se recomienda a los usuarios que hayan instalado las extensiones que las eliminen lo antes posible. Es importante que los equipos de seguridad implementen listas de extensiones permitidas, monitoreen extensiones con sistemas de pago de suscripción combinados con permisos de proxy e implementen monitoreo de red para detectar intentos sospechosos de autenticación de proxy.
About The Author
