Un actor de amenazas conocido como shadypanda se ha vinculado a una campaña de extensión de navegador que ha durado siete años y que ha acumulado más de 4,3 millones de instalaciones a lo largo del tiempo.
Cinco de estas extensiones comenzaron como programas legítimos antes de que se introdujeran cambios maliciosos a mediados de 2024, según un informe de Koi Security, que atrae 300.000 instalaciones. Desde entonces, estas extensiones han sido eliminadas.
«Estas extensiones ahora ejecutan código remoto cada hora: descargan y ejecutan JavaScript arbitrario con acceso completo al navegador», dijo el investigador de seguridad Tuval Admoni en un informe compartido con The Hacker News. «Supervisan cada visita al sitio web, filtran el historial de navegación cifrado y recopilan huellas digitales completas del navegador».
Para empeorar las cosas, una de las extensiones, Clean Master, fue presentada y verificada por Google en un momento. Este ejercicio de creación de confianza permitió a los atacantes ampliar su base de usuarios y publicar silenciosamente actualizaciones maliciosas años después sin despertar sospechas.
Mientras tanto, otro conjunto de cinco complementos del mismo editor está diseñado para controlar cada URL visitada por sus usuarios, así como registrar consultas en motores de búsqueda y clics del mouse, y transmitir la información a servidores ubicados en China. Estas extensiones se han instalado alrededor de cuatro millones de veces, con WeTab por sí solo representa tres millones de instalaciones.
Se dijo que se observaron los primeros signos de actividad maliciosa en 2023, cuando desarrolladores llamados «nuggetsno15» y «rocket Zhang» publicaron 20 extensiones en Chrome Web Store y 125 extensiones en Microsoft Edge, respectivamente. Todas las extensiones identificadas se hacen pasar por fondos de pantalla o aplicaciones de productividad.
Se descubrió que estas extensiones participaban en fraude de afiliados al inyectar sigilosamente códigos de seguimiento cuando los usuarios visitaban eBay, Booking.com o Amazon para generar comisiones ilícitas por las compras de los usuarios. A principios de 2024, el ataque pasó de inyecciones aparentemente inofensivas a un control activo del navegador mediante la redirección de consultas de búsqueda, la recopilación de consultas de búsqueda y la exfiltración de cookies de dominios específicos.
«Cada búsqueda en la web se redirigía a través de trovi.com, un conocido secuestrador de navegador», dijo Koi. «Consultas de búsqueda registradas, monetizadas y vendidas. Resultados de búsqueda manipulados con fines de lucro».
En algún momento a mediados de 2024, cinco extensiones, tres de las cuales habían estado funcionando legítimamente durante años, se modificaron para distribuir una actualización maliciosa que introducía una funcionalidad similar a una puerta trasera al verificar el dominio «api.extensionplay».[.]com» una vez cada hora para recuperar una carga útil de JavaScript y ejecutarla.
La carga útil, por su parte, está diseñada para monitorear cada visita al sitio web y enviar los datos en formato cifrado a un servidor ShadyPanda («api.cleanmasters[.]store»), junto con una huella digital detallada del navegador. Además de utilizar una amplia ofuscación para ocultar la funcionalidad, cualquier intento de acceder a las herramientas de desarrollo del navegador hace que cambie a un comportamiento benigno.
Además, las extensiones pueden realizar ataques de adversario en el medio (AitM) para facilitar el robo de credenciales, el secuestro de sesiones y la inyección de código arbitrario en cualquier sitio web.
La actividad pasó a la etapa final cuando otras cinco extensiones publicadas alrededor de 2023 en el centro de complementos de Microsoft Edge, incluido WeTab, aprovecharon su enorme base de instalación para permitir una vigilancia integral, incluida la recopilación de cada URL visitada, consultas de búsqueda, clics del mouse, cookies y huellas digitales del navegador.
También vienen equipados con capacidades para recopilar información sobre cómo interactúa una víctima con una página web, como el tiempo dedicado a verla y el comportamiento de desplazamiento. La extensión WeTab todavía está disponible para descargar al momento de escribir este artículo.
Los hallazgos pintan el panorama de una campaña sostenida que se desarrolló en cuatro fases distintas, convirtiendo progresivamente las extensiones del navegador de una herramienta legítima a un software espía de recopilación de datos. Sin embargo, cabe señalar que no está claro si los atacantes inflaron artificialmente las descargas para darles una ilusión de legitimidad.
Se recomienda a los usuarios que instalaron las extensiones que las eliminen inmediatamente y roten sus credenciales por precaución.
«El mecanismo de actualización automática, diseñado para mantener seguros a los usuarios, se convirtió en el vector de ataque», afirmó Koi. «El proceso de actualización confiable de Chrome y Edge entregó silenciosamente malware a los usuarios. Sin phishing. Sin ingeniería social. Solo extensiones confiables con versiones silenciosas que convirtieron las herramientas de productividad en plataformas de vigilancia».
«El éxito de ShadyPanda no se trata sólo de sofisticación técnica. Se trata de explotar sistemáticamente la misma vulnerabilidad durante siete años: los mercados revisan las extensiones en el momento del envío. No observan lo que sucede después de la aprobación».
Fuente