Una sofisticada campaña de ciberataques compromete la seguridad de Google Chrome. Algunas de las extensiones más populares del navegador recibieron un ataque masivo que comprometió al menos 16 y afectó a más de 600,000 usuarios en todo el mundo.
Según Hacker News, los atacantes utilizaron tácticas de phishing para infiltrarse en cuentas de desarrolladores y publicar versiones maliciosas de extensiones legítimas en la Chrome Web Store.
Entre las extensiones afectadas se encuentran herramientas populares como Internxt VPN, ParrotTalks y Uvoice, las cuales tienen miles de usuarios activos. Este incidente expone una de las vulnerabilidades más grandes en la web debido al acceso privilegiado que tienen estas extensiones a datos sensibles como cookies, tokens de acceso y credenciales de cuentas, según Hacker News.
El ataque comenzó con un correo de phishing y escaló rápidamente
El primer caso detectado fue el de Cyberhaven, una empresa de ciberseguridad cuyo empleado cayó en una trampa de phishing el pasado 24 de diciembre. Según Mashable, el correo aparentaba provenir del soporte para desarrolladores de Google y solicitaba información sensible además, se alegaba una posible eliminación de la extensión. Al proporcionar sus credenciales, los atacantes lograron inyectar código malicioso en la extensión de Cyberhaven y comprometer los datos de los usuarios.
Una vez que la extensión fue publicada en la Chrome Web Store, el código comenzó a recopilar datos, incluidos identificadores de usuarios de Facebook Ads y cookies, que fueron enviados a un servidor remoto. Según Reuters, los atacantes buscaban específicamente acceder a cuentas de publicidad en redes sociales y plataformas de inteligencia artificial, lo que sugiere un objetivo lucrativo y dirigido.
El alcance del ataque no se limita a Cyberhaven. Según Engadget, otras extensiones como VPNCity y AI Chat Assistant también fueron comprometidas en fechas similares. Jaime Blasco, cofundador de Nudge Security, dijo a Reuters que al menos una de las extensiones afectadas había sido atacada desde mediados de diciembre, lo que sugiere que esta campaña lleva semanas en desarrollo.
Los investigadores descubrieron que las extensiones maliciosas no solo robaban datos, sino que también insertaban funciones adicionales como detectores de clics del mouse, lo que da facilidad a los atacantes para superar medidas de seguridad como la autenticación en dos pasos.
Google elimina las extensiones, pero los riesgos persisten
Tras la detección del ataque, Google eliminó las extensiones maliciosas de la Chrome Web Store. Sin embargo, según The Hacker News, el simple hecho de retirar las extensiones no soluciona el problema por completo. Mientras las versiones comprometidas permanezcan activas en los dispositivos de los usuarios, los atacantes podrían seguir recopilando información sensible.
Cyberhaven aseguró haber lanzado una versión limpia de su extensión menos de una hora después de detectar la intrusión, pero no todas las empresas han respondido con la misma rapidez. Secure Annex, una plataforma especializada en la seguridad de extensiones, continúa rastreando extensiones adicionales que podrían haber sido afectadas e informaron a The Hacker News que la campaña podría estar en curso desde 2023.
Or Eshed, director ejecutivo de LayerX Security, recomendó que los usuarios revisen periódicamente las extensiones instaladas, las eliminen si no son necesarias y verifiquen que estén actualizadas.
Por ahora, no se ha identificado a los responsables detrás de la campaña ni su posible origen geográfico. Google tampoco ha emitido comentarios oficiales sobre el incidente, según Mashable.
Ver 0 comentarios