Los investigadores de ciberseguridad han descubierto dos extensiones maliciosas de Google Chrome con el mismo nombre y publicadas por el mismo desarrollador que vienen con capacidades para interceptar el tráfico y capturar las credenciales de los usuarios.
Las extensiones se anuncian como un «complemento de prueba de velocidad de red multiubicación» para desarrolladores y personal de comercio exterior. Ambos complementos del navegador están disponibles para descargar al momento de escribir este artículo. Los detalles de las extensiones son los siguientes:
- Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) – 2000 usuarios (Publicado el 26 de noviembre de 2017)
- Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) – 180 usuarios (Publicado el 27 de abril de 2023)
«Los usuarios pagan suscripciones que van desde ¥9,9 a ¥95,9 CNY ($1,40 a $13,50 USD), creyendo que están comprando un servicio VPN legítimo, pero ambas variantes realizan operaciones maliciosas idénticas», dijo el investigador de seguridad de Socket, Kush Pandya.
«Detrás de la fachada de suscripción, las extensiones ejecutan una intercepción completa del tráfico a través de la inyección de credenciales de autenticación, operan como servidores proxy intermediarios y exfiltran continuamente datos del usuario al C2 del actor de la amenaza. [command-and-control] servidor.»
Una vez que los usuarios desprevenidos realizan el pago, reciben el estatus VIP y las extensiones habilitan automáticamente el modo proxy «inteligente», que dirige el tráfico de más de 170 dominios específicos a través de la infraestructura C2.
Las extensiones funcionan como se anuncia para reforzar la ilusión de un producto funcional. Realizan pruebas de latencia reales en servidores proxy y muestran el estado de la conexión, mientras mantienen a los usuarios a oscuras sobre su objetivo principal, que es interceptar el tráfico de la red y robar credenciales.
Esto implica modificaciones maliciosas antepuestas a dos bibliotecas de JavaScript, a saber, jquery-1.12.2.min.js y scripts.js, que vienen incluidas con las extensiones. El código está diseñado para inyectar automáticamente credenciales de proxy codificadas (topfany/963852wei) en cada desafío de autenticación HTTP en todos los sitios web al registrar un oyente en chrome.webRequest.onAuthRequired.
«Cuando cualquier sitio web o servicio solicita autenticación HTTP (autenticación básica, autenticación implícita o autenticación de proxy), este oyente se activa antes de que el navegador muestre una solicitud de credencial», explicó Pandya. «Responde inmediatamente con las credenciales de proxy codificadas, completamente transparentes para el usuario. El modo asyncBlocking garantiza la inyección sincrónica de credenciales, evitando cualquier interacción del usuario».
Una vez que los usuarios se autentican en un servidor proxy, la extensión configura los ajustes del proxy de Chrome mediante una configuración automática de proxy (PAC) script para implementar tres modos –
- cerrar, que desactiva la función de proxy
- siempre, que enruta todo el tráfico web a través del proxy
- Smarty, que enruta una lista codificada de más de 170 dominios de alto valor a través del proxy.
La lista de dominios incluye plataformas de desarrollo (GitHub, Stack Overflow, Docker), servicios en la nube (Amazon Web Services, Digital Ocean, Microsoft Azure), soluciones empresariales (Cisco, IBM, VMware), redes sociales (Facebook, Instagram, Twitter) y sitios de contenido para adultos. La inclusión de sitios pornográficos es probablemente un intento de chantajear a las víctimas, teorizó Socket.
El resultado neto de este comportamiento es que el tráfico web del usuario se enruta a través de servidores proxy controlados por el actor de amenazas, mientras que la extensión mantiene un latido de 60 segundos en su servidor C2 en phantomshuttle.[.]espacio, un ámbito que sigue siendo operativo. También otorga al atacante una posición de «intermediario» (MitM) para capturar el tráfico, manipular respuestas e inyectar cargas útiles arbitrarias.
Más importante aún, el mensaje de latido transmite el correo electrónico, la contraseña en texto sin formato y el número de versión de un usuario VIP a un servidor externo a través de una solicitud HTTP GET cada cinco minutos para una filtración continua de credenciales y monitoreo de sesión.
«La combinación de exfiltración de latidos (credenciales y metadatos) más proxy MitM (captura de tráfico en tiempo real) proporciona capacidades integrales de robo de datos que funcionan continuamente mientras la extensión permanece activa», dijo Socket.
Dicho de otra manera, la extensión captura contraseñas, números de tarjetas de crédito, cookies de autenticación, historial de navegación, datos de formularios, claves API y tokens de acceso de los usuarios que acceden a los dominios específicos mientras el modo VIP está activo. Es más, el robo de secretos de los desarrolladores podría allanar el camino para ataques a la cadena de suministro.
Actualmente no se sabe quién está detrás de la operación de ocho años, pero el uso del idioma chino en la descripción de la extensión, la presencia de la integración Alipay/WeChat Pay para realizar pagos y el uso de Alibaba Cloud para alojar el dominio C2 apuntan a una operación con sede en China.
«El modelo de suscripción crea retención de víctimas al mismo tiempo que genera ingresos, y la infraestructura profesional con integración de pagos presenta una fachada de legitimidad», afirmó Socket. «Los usuarios creen que están comprar un servicio VPN mientras que, sin saberlo, permite un compromiso total del tráfico».
Los hallazgos resaltan cómo las extensiones basadas en navegadores se están convirtiendo en una capa de riesgo no administrada para las empresas. Se recomienda a los usuarios que hayan instalado las extensiones que las eliminen lo antes posible. Para los equipos de seguridad, es esencial implementar listas de extensiones permitidas, monitorear extensiones con sistemas de pago de suscripción combinados con permisos de proxy e implementar monitoreo de red para detectar intentos sospechosos de autenticación de proxy.
Fuente