El actor de amenazas conocido como ShadyPanda ha estado involucrado en una campaña de extensión de navegador de siete años que ha resultado en más de 4,3 millones de instalaciones.
Según un informe de Koui Security, cinco de estas extensiones comenzaron como programas legítimos e introdujeron cambios maliciosos a mediados de 2024, obteniendo 300.000 instalaciones. Desde entonces, estas extensiones se han eliminado.
«Estas extensiones actualmente realizan ejecución remota de código cada hora, descargando y ejecutando JavaScript arbitrario con acceso completo al navegador», dijo el investigador de seguridad Tuval Admoni en un informe compartido con The Hacker News. «Supervisan cada visita al sitio web, roban el historial de navegación cifrado y recopilan huellas digitales completas del navegador».
Para empeorar las cosas, una de las extensiones, Clean Master, fue seleccionada y verificada por Google en algún momento. Este ejercicio de creación de confianza permitió a los atacantes ampliar su base de usuarios y publicar silenciosamente actualizaciones maliciosas años después sin despertar sospechas.
Mientras tanto, otro conjunto de cinco complementos del mismo editor está diseñado para monitorear cada URL que visita un usuario, registrar consultas en motores de búsqueda y clics del mouse, y enviar esa información a un servidor ubicado en China. Estas extensiones se han instalado aproximadamente 4 millones de veces, y solo WeTab representa 3 millones de instalaciones.
Se dijo que se observaron los primeros signos de actividad maliciosa en 2023, cuando desarrolladores llamados «nuggetsno15» y «rocket Zhang» publicaron 20 extensiones en Chrome Web Store y 125 extensiones en Microsoft Edge, respectivamente. Todas las extensiones identificadas se hacían pasar por fondos de pantalla o aplicaciones de productividad.
Se ha descubierto que estas extensiones participan en fraude de afiliados al inyectar en secreto códigos de seguimiento cuando los usuarios visitan eBay, Booking.com o Amazon para generar comisiones ilegales por las compras de los usuarios. A principios de 2024, los ataques pasaron de inyecciones aparentemente benignas al control activo del navegador mediante la redirección de consultas de búsqueda, la recopilación de consultas de búsqueda y la extracción de cookies de dominios específicos.
«Todas las búsquedas web fueron redirigidas a través de trovi.com, un conocido secuestrador de navegador», dijo Coy. «Las consultas de búsqueda se registran, se monetizan y se venden. Los resultados de la búsqueda se manipulan con fines de lucro».
En algún momento a mediados de 2024, se modificaron cinco extensiones (tres de las cuales habían estado funcionando legítimamente durante años) para distribuir una actualización maliciosa que introducía una funcionalidad similar a una puerta trasera al verificar el dominio «api.extensionplay(.)com» cada hora para recuperar y ejecutar una carga útil de JavaScript.
La carga útil está diseñada para monitorear todas las visitas al sitio web y enviar los datos en formato cifrado junto con una huella digital detallada del navegador al servidor ShadyPanda (‘api.cleanmasters(.)store’). Además de utilizar una amplia ofuscación para ocultar la funcionalidad, el navegador cambia a un comportamiento seguro cuando intenta acceder a las herramientas de desarrollo del navegador.
Además, las extensiones pueden lanzar ataques de intermediario (AitM) para facilitar el robo de credenciales, el secuestro de sesiones y la inyección de código arbitrario en sitios web.
Esta actividad pasó a su fase final cuando otras cinco extensiones, incluida WeTab, publicadas en Microsoft Edge Add-on Hub alrededor de 2023, aprovecharon su enorme base instalada para permitir un monitoreo integral de todas las URL visitadas, consultas de búsqueda, clics del mouse, cookies, recopilación de huellas digitales del navegador y más.
También tiene la capacidad de recopilar información sobre cómo las víctimas interactúan con las páginas web, como el tiempo de visualización de la página web y el comportamiento de desplazamiento. La extensión WeTab todavía está disponible para descargar al momento de escribir este artículo.
Los hallazgos proporcionan una imagen completa de una campaña en curso que se desarrolló en cuatro fases distintas, transformando gradualmente las extensiones de navegador de herramientas legítimas a software espía de recopilación de datos. Sin embargo, vale la pena señalar que no está claro si los atacantes inflaron artificialmente los números de descarga para crear una ilusión de legitimidad.
Recomendamos que los usuarios que hayan instalado la extensión la eliminen inmediatamente y roten sus credenciales por precaución.
«El mecanismo de actualización automática diseñado para mantener a los usuarios seguros se convirtió en un vector de ataque», afirmó Coy. «El canal de actualizaciones confiable de Chrome y Edge entregó malware a los usuarios de manera silenciosa. Sin phishing, sin ingeniería social, solo extensiones confiables con versiones silenciosas que convierten una herramienta de productividad en una plataforma de monitoreo».
«El éxito de ShadyPanda va más allá de la sofisticación técnica; ha explotado sistemáticamente la misma vulnerabilidad durante siete años. El mercado revisa las extensiones en el momento de su envío; no supervisamos lo que sucede después de la aprobación».
Source link
