Investigadores de ciberseguridad han descubierto dos extensiones maliciosas de Google Chrome con el mismo nombre y publicadas por el mismo desarrollador que tienen la capacidad de interceptar el tráfico y capturar las credenciales de los usuarios.
La extensión se anuncia como un «complemento de prueba de velocidad de red en múltiples ubicaciones» para desarrolladores y profesionales del sector. Al momento de escribir este artículo, ambos complementos del navegador están disponibles para descargar. Aquí están los detalles de la extensión:
Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj): 2000 usuarios (lanzado el 26 de noviembre de 2017) Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd): 180 usuarios (lanzado el 27 de abril de 2023)
«Los usuarios pagan suscripciones que van desde 9,9 a 95,9 CNY (entre 1,40 y 13,50 dólares) creyendo que están comprando un servicio VPN legítimo, pero ambas variantes realizan las mismas operaciones maliciosas», dijo el investigador de seguridad de sockets Kush Pandya.
«Detrás de la fachada de suscripción, la extensión realiza una interceptación total del tráfico a través de la inyección de credenciales de autenticación, actúa como un proxy intermediario y exfiltra continuamente datos del usuario al servidor C2 (comando y control) del actor de la amenaza».
Una vez que un usuario desprevenido realiza un pago, recibe el estatus VIP y la extensión habilita automáticamente el modo proxy «inteligente», que dirige el tráfico de más de 170 dominios específicos a través de la infraestructura C2.
La extensión funciona como se anuncia y refuerza la ilusión de un producto funcional. Realiza pruebas de latencia reales en el servidor proxy y muestra el estado de la conexión mientras mantiene a los usuarios al tanto de su objetivo principal: interceptar el tráfico de la red y robar credenciales.
Esto incluye cambios maliciosos agregados a dos bibliotecas de JavaScript incluidas con la extensión: jquery-1.12.2.min.js y scripts.js. Este código está diseñado para inyectar automáticamente credenciales de proxy codificadas (topfany/963852wei) en todos los desafíos de autenticación HTTP para todos los sitios web al registrar un oyente en chrome.webRequest.onAuthRequired.
«Cuando un sitio web o servicio solicita autenticación HTTP (autenticación básica, implícita o proxy), este detector se activa antes de que el navegador muestre la solicitud de credenciales», explicó Pandya. «Responde instantáneamente con credenciales de proxy codificadas, completamente transparentes para el usuario. El modo asyncBlocking garantiza la inyección sincrónica de credenciales y evita la interacción del usuario».
Una vez que el usuario se autentica en el servidor proxy, la extensión utiliza un script de configuración automática de proxy (PAC) para configurar los ajustes del proxy de Chrome e implementa tres modos:
cerrar: deshabilitar siempre la funcionalidad del proxy: enruta todo el tráfico web a través del proxy Smarty: enruta una lista codificada de más de 170 dominios de alto valor a través del proxy
La lista de dominios incluye plataformas de desarrollo (GitHub, Stack Overflow, Docker), servicios en la nube (Amazon Web Services, Digital Ocean, Microsoft Azure), soluciones empresariales (Cisco, IBM, VMware), redes sociales (Facebook, Instagram, Twitter) y sitios de contenido para adultos. Socket teorizó que la publicación del sitio porno probablemente era un intento de intimidar a la víctima.
El resultado final de este comportamiento es que el tráfico web del usuario se enruta a través de un proxy controlado por el actor de la amenaza, mientras se mantiene un latido de 60 segundos al servidor C2 en el espacio phantomshuttle(.), el dominio donde la extensión continúa operando. También le da al atacante una posición de «intermediario» (MitM) para capturar el tráfico, manipular respuestas e inyectar cargas útiles arbitrarias.
Más importante aún, el mensaje de latido envía el correo electrónico del usuario VIP, la contraseña en texto plano y el número de versión a través de una solicitud HTTP GET a un servidor externo cada 5 minutos para la extracción continua de credenciales y el monitoreo de la sesión.
«La combinación de extracción de latidos (credenciales y metadatos) y proxy MitM (captura de tráfico en tiempo real) proporciona capacidades integrales de robo de datos que mantienen la extensión activa y funcionando continuamente», dijo Socket.
En otras palabras, la extensión captura contraseñas, números de tarjetas de crédito, cookies de autenticación, historial de navegación, datos de formularios, claves API y tokens de acceso de los usuarios que acceden al dominio de destino cuando el modo VIP está activo. Además, el robo de información confidencial de los desarrolladores puede allanar el camino para ataques a la cadena de suministro.
Actualmente no está claro quién está detrás de esta operación de ocho años, pero el uso del chino en la descripción de la extensión, la presencia de la integración Alipay/WeChat Pay para pagos y el uso de Alibaba Cloud como host para el dominio C2 indican una operación con sede en China.
«Los modelos de suscripción crean retención de víctimas al mismo tiempo que generan ingresos, y la infraestructura profesional con integraciones de pago da la apariencia de legitimidad», afirmó Socket. «Creemos que los usuarios, sin saberlo, están comprando servicios VPN con la capacidad de comprometer completamente su tráfico».
Este hallazgo resalta cómo las extensiones basadas en navegadores se están convirtiendo en una capa de riesgo no administrada para las empresas. Se recomienda a los usuarios que hayan instalado la extensión que la eliminen lo antes posible. Es esencial que los equipos de seguridad implementen listas de extensiones permitidas, monitoreen las extensiones mediante una combinación de sistemas de pago de suscripción y permisos de proxy, e implementen monitoreo de red para detectar intentos sospechosos de autenticación de proxy.
Source link
