Un actor de amenaza desconocido se ha atribuido a crear varias extensiones de navegador de Chrome malvado desde febrero de 2024 que se disfrazan de utilidades aparentemente benignas pero incorporan funcionalidad fraude para exfiltrar datos, cobrar comandos y ejecutar código improcedente.
«El actor crea sitios web que se disfrazan de servicios legítimos, herramientas de productividad, creación de anuncios y medios de comunicación o asistentes de prospección, servicios VPN, criptográficos, bancos y más para dirigir a los usuarios a instalar extensiones maliciosas correspondientes en la tienda web Chrome (CWS) de Google», el equipo de Domaedools Intelligence (DTI) dijo en un documentación compartido con las noticiario de piratas informáticos.
Si proporcionadamente los complementos del navegador parecen ofrecer las características anunciadas, igualmente permiten el robo de credenciales y cookies, secuestro de sesiones, inyección de AD, redirecciones maliciosas, manipulación de tráfico y phishing a través de la manipulación DOM.
Otro multiplicador que funciona a privanza de las extensiones es que están configurados para otorgarse permisos excesivos a través del archivo Manifest.json, lo que les permite interactuar con cada sitio visitado en el navegador, ejecutar código improcedente recuperado de un dominio controlado por el atacante, realizar redireccionamientos maliciosos e incluso anuncios inyectados.
Todavía se ha contrario que las extensiones se basan en el regulador de eventos «OnReset» en un punto del maniquí de objeto de documento temporal (DOM) para ejecutar código, probablemente en un intento de evitar la Política de seguridad de contenido (CSP).
Algunos de los sitios web de señores identificados se hacen producirse por productos y servicios legítimos como Deepseek, Manus, DeBank, FortivPN y las estadísticas del sitio para atraer a los usuarios a descargar e instalar las extensiones. Los complementos luego proceden a Harvest Browser Cookies, obtienen scripts arbitrarios de un servidor remoto y configuran una conexión WebSocket para llevar a cabo como un proxy de red para el enrutamiento de tráfico.
Actualmente no hay visibilidad sobre cómo las víctimas son redirigidas a los sitios falsos, pero Domainteols le dijo a la publicación que podría involucrar métodos habituales como el phishing y las redes sociales.
«Correcto a que aparecen tanto en la tienda web de Chrome como en los sitios web adyacentes, pueden regresar de los resultados en las búsquedas web normales y para las búsquedas internamente de la tienda Chrome», dijo la compañía. «Muchos de los sitios web de Lure utilizaron ID de seguimiento de Facebook, lo que sugiere fuertemente que están aprovechando las aplicaciones de Facebook / Meta de alguna forma para atraer a los visitantes del sitio. Posiblemente a través de páginas de Facebook, grupos e incluso anuncios».
Al escribir, no se sabe quién está detrás de la campaña, aunque los actores de amenaza han establecido más de 100 sitios web falsos y extensiones de cromo maliciosas. Google, por su parte, ha eliminado las extensiones.
Para mitigar los riesgos, se aconseja a los usuarios que se mantengan con desarrolladores verificados antiguamente de descargar extensiones, revisar los permisos solicitados, examinar las revisiones y desinteresarse de usar extensiones parecidas.
Dicho esto, igualmente vale la pena tener en cuenta que las calificaciones podrían ser manipuladas e infladas artificialmente filtrando la feedback negativa de los usuarios.
Domaineols, en un prospección publicado a fines del mes pasado, encontró evidencia de extensiones que se esfuerzan por unsee profundo que redirigió a los usuarios que proporcionan bajas calificaciones (1-3 estrellas) a un formulario de feedback privada en el dominio profesional AI-Chat-Bot (.), Al tiempo que envían aquellos que proporcionan altas calificaciones (4-5 estrellas) a la página oficial de revisión de la tienda web de Chrome.
