El actor de amenaza desconocida ha sido equipado con utilidad aparentemente benigna desde febrero de 2024, pero se atribuye a crear varias extensiones de navegador de Chrome malicioso que incorporan características ocultas para eliminar datos, recibir comandos y ejecutar código arbitrario.
«El actor creará sitios web pose como servicios legítimos, herramientas de productividad, asistentes de publicidad y creación de medios, servicios VPN, bancos y más, e instruye a instalar extensiones maliciosas que correspondan a la tienda web Chrome (CWS) de Google.
El complemento del navegador parece proporcionar funciones anunciadas, pero también permite el phishing con credenciales y robo de cookies, secuestro de sesión, inyección de AD, redireccionamientos maliciosos, operaciones de tráfico y operaciones DOM.
Otro factor que funciona en su ventaja con las extensiones es que están configurados para otorgar permisos excesivos a través del archivo manifest.json.
También se sabe que las extensiones se basan en el controlador de eventos «OnReset» de los elementos del modelo de objeto de documento temporal (DOM) para evitar las políticas de seguridad de contenido (CSP), posiblemente para ejecutar el código.
Algunos sitios web de señoría identificados tentarán a los usuarios a descargar e instalar extensiones haciéndose pasar por productos y servicios legítimos como Deepseek, Manus, DeBank, FortivPN y las estadísticas del sitio. El complemento va a la cosecha de cookies del navegador, recupera cualquier scripts del servidor remoto y establece una conexión WebSocket que actúa como un proxy de red para el enrutamiento de tráfico.
Actualmente, no hay visibilidad en la forma en que las víctimas son redirigidas a sitios falsos, pero Doma -Mani dijo a la publicación que podría incluir métodos regulares como el phishing y las redes sociales.
«Han aparecido en ambas tiendas de Chrome y tienen sitios web adyacentes, por lo que pueden regresar de los resultados de las búsquedas dentro de la tienda Chrome como resultado de las búsquedas web normales», dijo la compañía. «Muchos de los sitios web de Lure utilizaron ID de seguimiento de Facebook, lo que sugiere fuertemente que las aplicaciones de Facebook/Meta se ven a la veneración de alguna manera para atraer a los visitantes del sitio.
Al momento de escribir, no sabemos quién está detrás de la campaña, pero los actores de amenaza tienen más de 100 sitios web falsos y extensiones de cromo maliciosas. Google ha eliminado la extensión.
Para mitigar el riesgo, se alienta a los usuarios que se adhieran a un desarrollador verificado antes de descargar la extensión. Revise los permisos solicitados, revise las revisiones y abstenga de usar extensiones visuales.
Dicho esto, vale la pena tener en cuenta que filtrar la retroalimentación negativa de los usuarios puede manipular e inflar artificialmente las calificaciones.
En un análisis publicado más tarde el mes pasado, Domainools encontró evidencia de una extensión que se hace pasar por una búsqueda profunda que redirige a los usuarios que proporcionan bajas calificaciones (1-3 estrellas) para formularios de retroalimentación privada para los dominios PRO AI-Chat-Bot (.), Y proporciona altas calificaciones (4-5 estrellas) en la página oficial de revisión de la tienda web Chrome.
Source link
