Más de 100 extensiones maliciosas en la Chrome Web Store oficial están atacando a los usuarios para robar datos de cuentas de Google, instalar puertas traseras (backdoors) y realizar fraude publicitario, según investigadores de la firma de seguridad Socket.
Las extensiones, que operan bajo cinco identidades de editor distintas, abarcan diversas categorías, incluyendo barras laterales de Telegram, herramientas de mejora para YouTube y utilidades generales. Los investigadores identificaron una infraestructura de comando y control compartida que se utiliza para coordinar la campaña.
Los investigadores de Socket hallaron pruebas que sugieren que se trata de una campaña rusa de malware como servicio (MaaS), tras detectar comentarios específicos en el código relacionados con la autenticación y el robo de sesiones. La campaña depende de un backend central alojado en un VPS de Contabo para gestionar la recopilación de identidades y su monetización.
Recolección de datos y secuestro de sesiones
El software malicioso opera mediante varios métodos distintos. Un grupo de 78 extensiones inyecta HTML controlado por los atacantes directamente en la interfaz del usuario. Otro grupo de 54 extensiones utiliza la función 'chrome.identity.getAuthToken' para recolectar nombres de usuario, correos electrónicos y fotos de perfil.
Estas extensiones también roban tokens de Google OAuth2 (Bearer tokens). Estos tokens de corta duración permiten a los atacantes acceder a los datos del usuario o actuar en su nombre sin necesidad de interacción adicional.
Un tercer grupo de 45 extensiones funciona como una puerta trasera. Este software se ejecuta automáticamente al iniciar el navegador para recibir comandos de un servidor remoto y abrir URLs arbitrarias sin el consentimiento del usuario.
Una extensión particularmente grave se dirige a los usuarios de Telegram Web, robando sesiones cada 15 segundos. "La extensión también gestiona un mensaje entrante (set_session_changed) que realiza la operación inversa: borra el localStorage de la víctima, lo sobrescribe con datos de sesión proporcionados por el atacante y recarga Telegram a la fuerza", informó Socket.
Esta capacidad permite a los atacantes cambiar la cuenta de Telegram en el navegador de la víctima sin que el usuario lo note. Otras extensiones de la campaña eliminan encabezados de seguridad para inyectar anuncios en YouTube y TikTok, o actúan como proxy para solicitudes de traducción a través de servidores maliciosos.
Socket ya ha notificado a Google sobre estos hallazgos, pero muchas de las extensiones maliciosas siguen activas en la Chrome Web Store. Se recomienda a los usuarios verificar sus extensiones instaladas comparándolas con los IDs publicados por Socket y desinstalar cualquier coincidencia de inmediato.
