Imagen con un candado roto sobre un fondo de código binario, con la leyenda "+25 Extensiones Chrome Comprometidas".
Ciberseguridad: revisa tus extensiones de Chrome.

Más de 25 Extensiones de Chrome Comprometidas por Hackers

Un nuevo ataque ha afectado a varias extensiones de Chrome, comprometiendo al menos 25 extensiones y exponiendo los datos de más de 600.000 usuarios.

Como ya es sabido, la primera víctima del ataque fue la empresa de ciberseguridad Cyberhaven, cuando uno de sus empleados fue víctima de un ataque de phishing el 24 de diciembre.

Esto permitió a los atacantes publicar una versión maliciosa de la extensión.

Cyberhaven fue la primera víctima

https://twitter.com/CyberhavenInc/status/1872732418135998770

El 27 de diciembre, Cyberhaven reveló que un atacante comprometió su extensión de navegador e inyectó código malicioso para comunicarse con un servidor externo de comando y control (C&C) ubicado en el dominio cyberhavenext[.]pro, descargar archivos de configuración adicionales y extraer datos del usuario.

El correo electrónico de phishing, que supuestamente provenía del soporte para desarrolladores de Google Chrome Web Store, intentaba inducir una falsa sensación de urgencia, alegando que la extensión estaba en riesgo de ser eliminada de la tienda de extensiones, citando una violación de las Políticas del Programa para Desarrolladores.

Logotipo de Google Chrome en primer plano, con la palabra "Google" desenfocada en el fondo.
Extensiones de Google Chrome fueron comprometidas por hackers

Además, solicitaba al destinatario que hiciera clic en un enlace para aceptar las políticas, tras lo cual se le redirigía a una página de concesión de permisos a una aplicación OAuth maliciosa llamada “Política de privacidad de la extensión”.

De esta manera, según Cyberhaven, “el autor del ataque obtuvo los permisos necesarios a través de la aplicación maliciosa y cargó una extensión maliciosa de Chrome en la Chrome Web Store; después del habitual proceso de revisión de seguridad de la Chrome Web Store, la extensión maliciosa fue aprobada para su publicación”.

Extensiones de navegador “son el punto débil de la seguridad web”

Según Or Eshed, director ejecutivo de LayerX Security, especializada en seguridad de extensiones de navegador, estas son “el punto débil de la seguridad web”.

Aunque tendemos a pensar que las extensiones de navegador son inofensivas, en la práctica, a menudo se les conceden permisos extensos a información sensible del usuario, como cookies, tokens de acceso, información de identidad y mucho más.

Muchas organizaciones ni siquiera saben qué extensiones tienen instaladas y no son conscientes del alcance de su exposición.

Tras la noticia de la violación de Cyberhaven, una investigación más profunda reveló más extensiones que se sospecha que han sido comprometidas, según la plataforma de seguridad de extensiones de navegador Secure Annex:

  1. AI Assistant – ChatGPT and Gemini for Chrome
  2. Bard AI Chat Extension
  3. GPT 4 Summary with OpenAI
  4. Search Copilot AI Assistant for Chrome
  5. TinaMInd AI Assistant
  6. Wayin AI
  7. VPNCity
  8. Internxt VPN
  9. Vindoz Flex Video Recorder
  10. VidHelper Video Downloader
  11. Bookmark Favicon Changer
  12. Castorus
  13. Uvoice
  14. Reader Mode
  15. Parrot Talks
  16. Primus
  17. Tackker – herramienta de registro de teclas en línea
  18. AI Shop Buddy
  19. Sort by Oldest
  20. Rewards Search Automator
  21. ChatGPT Assistant – Smart Search
  22. Keyboard History Recorder
  23. Email Hunter
  24. Visual Effects for Google Meet
  25. Earny – Hasta un 20% de reembolso en efectivo

Esta lista de extensiones comprometidas indica que Cyberhaven no fue un objetivo aislado, sino parte de un ataque a gran escala que apuntó a extensiones de navegador legítimas.

A The Hacker News, John Tuckner, fundador de Secure Annex, dijo que existe la posibilidad de que el ataque se esté llevando a cabo desde el 5 de abril de 2023, o probablemente incluso antes, según las fechas de registro de los dominios utilizados: nagofsg[.]com se registró en agosto de 2022 y sclpfybn[.]com se registró en julio de 2021.

Aunque las extensiones se eliminen de la Chrome Web Store, “mientras la versión comprometida de la extensión siga activa en el endpoint, los hackers pueden seguir accediendo a ella y extrayendo datos”, según Or Eshed.

Los investigadores de seguridad continúan buscando otras extensiones expuestas, pero la sofisticación y el alcance del ataque han elevado el listón.

En este momento, no está claro quién está detrás del ataque.

My Cart Close (×)

Tu carrito está vacío
Ver tienda