Un nuevo ataque ha afectado a varias extensiones de Chrome, comprometiendo al menos 25 extensiones y exponiendo los datos de más de 600.000 usuarios.
Como ya es sabido, la primera víctima del ataque fue la empresa de ciberseguridad Cyberhaven, cuando uno de sus empleados fue víctima de un ataque de phishing el 24 de diciembre.
Esto permitió a los atacantes publicar una versión maliciosa de la extensión.
Cyberhaven fue la primera víctima
El 27 de diciembre, Cyberhaven reveló que un atacante comprometió su extensión de navegador e inyectó código malicioso para comunicarse con un servidor externo de comando y control (C&C) ubicado en el dominio cyberhavenext[.]pro, descargar archivos de configuración adicionales y extraer datos del usuario.
El correo electrónico de phishing, que supuestamente provenía del soporte para desarrolladores de Google Chrome Web Store, intentaba inducir una falsa sensación de urgencia, alegando que la extensión estaba en riesgo de ser eliminada de la tienda de extensiones, citando una violación de las Políticas del Programa para Desarrolladores.
Además, solicitaba al destinatario que hiciera clic en un enlace para aceptar las políticas, tras lo cual se le redirigía a una página de concesión de permisos a una aplicación OAuth maliciosa llamada “Política de privacidad de la extensión”.
De esta manera, según Cyberhaven, “el autor del ataque obtuvo los permisos necesarios a través de la aplicación maliciosa y cargó una extensión maliciosa de Chrome en la Chrome Web Store; después del habitual proceso de revisión de seguridad de la Chrome Web Store, la extensión maliciosa fue aprobada para su publicación”.
Extensiones de navegador “son el punto débil de la seguridad web”
Según Or Eshed, director ejecutivo de LayerX Security, especializada en seguridad de extensiones de navegador, estas son “el punto débil de la seguridad web”.
Aunque tendemos a pensar que las extensiones de navegador son inofensivas, en la práctica, a menudo se les conceden permisos extensos a información sensible del usuario, como cookies, tokens de acceso, información de identidad y mucho más.
Muchas organizaciones ni siquiera saben qué extensiones tienen instaladas y no son conscientes del alcance de su exposición.
Tras la noticia de la violación de Cyberhaven, una investigación más profunda reveló más extensiones que se sospecha que han sido comprometidas, según la plataforma de seguridad de extensiones de navegador Secure Annex:
- AI Assistant – ChatGPT and Gemini for Chrome
- Bard AI Chat Extension
- GPT 4 Summary with OpenAI
- Search Copilot AI Assistant for Chrome
- TinaMInd AI Assistant
- Wayin AI
- VPNCity
- Internxt VPN
- Vindoz Flex Video Recorder
- VidHelper Video Downloader
- Bookmark Favicon Changer
- Castorus
- Uvoice
- Reader Mode
- Parrot Talks
- Primus
- Tackker – herramienta de registro de teclas en línea
- AI Shop Buddy
- Sort by Oldest
- Rewards Search Automator
- ChatGPT Assistant – Smart Search
- Keyboard History Recorder
- Email Hunter
- Visual Effects for Google Meet
- Earny – Hasta un 20% de reembolso en efectivo
Esta lista de extensiones comprometidas indica que Cyberhaven no fue un objetivo aislado, sino parte de un ataque a gran escala que apuntó a extensiones de navegador legítimas.
A The Hacker News, John Tuckner, fundador de Secure Annex, dijo que existe la posibilidad de que el ataque se esté llevando a cabo desde el 5 de abril de 2023, o probablemente incluso antes, según las fechas de registro de los dominios utilizados: nagofsg[.]com se registró en agosto de 2022 y sclpfybn[.]com se registró en julio de 2021.
Aunque las extensiones se eliminen de la Chrome Web Store, “mientras la versión comprometida de la extensión siga activa en el endpoint, los hackers pueden seguir accediendo a ella y extrayendo datos”, según Or Eshed.
Los investigadores de seguridad continúan buscando otras extensiones expuestas, pero la sofisticación y el alcance del ataque han elevado el listón.
En este momento, no está claro quién está detrás del ataque.