Extensiones de navegador peligrosas

A menudo escribimos en estas páginas de blog sobre lo peligrosas que pueden ser las extensiones del navegador. Para ilustrar este hecho, decidimos dedicarle un artículo. En esta publicación, veremos los casos más interesantes, inusuales, generalizados y peligrosos relacionados con extensiones maliciosas en 2023. También analizaremos de lo que eran capaces estas extensiones y, por supuesto, cómo protegerse de ellas.

Extensiones de Roblox con puerta trasera

Para establecer el tono y también resaltar una de las mayores preocupaciones asociadas con las extensiones peligrosas, comencemos con una historia que comenzó el año pasado. En noviembre de 2022, se descubrieron dos extensiones maliciosas con el mismo nombre, SearchBlox, en Chrome Web Store, la tienda oficial de extensiones del navegador Google Chrome. Una de estas extensiones tuvo más de 200 000 descargas.

La finalidad declarada de las extensiones era buscar un jugador específico en los servidores de Roblox. Sin embargo, su finalidad real era piratear las cuentas de los jugadores de Roblox y robar sus activos en el juego. Después de que la información sobre estas extensiones maliciosas se publicara en BleepingComputer, se eliminaron de Chrome Web Store y se eliminaron automáticamente de los dispositivos de los usuarios que las habían instalado.

Las extensiones maliciosas de SearchBlox publicadas en Chrome Web Store de Google piratearon las cuentas de los jugadores de Roblox. Fuente

Sin embargo, la historia de Roblox no termina ahí. En agosto de 2023, se descubrieron dos extensiones maliciosas más de naturaleza similar, RoFinder y RoTracker, en Chrome Web Store. Al igual que SearchBlox, estos complementos permitían a los usuarios buscar a otros jugadores en los servidores de Roblox, pero en realidad tenían una puerta trasera incorporada. La comunidad de usuarios de Roblox finalmente logró eliminar estas extensiones de la tienda.

La extensión maliciosa RoTracker, también alojada en Chrome Web Store de Google. Fuente

Esto sugiere que la calidad de la moderación en la plataforma más oficial del mundo para descargar extensiones de Google Chrome deja mucho que desear y es bastante fácil para los creadores de extensiones maliciosas introducir sus creaciones allí. Para que los moderadores detecten extensiones peligrosas y las eliminen de la tienda, las revisiones de los usuarios afectados rara vez son suficientes; a menudo, se requieren esfuerzos de los medios de comunicación, los investigadores de seguridad o una gran comunidad en línea.

Extensiones falsas de ChatGPT que piratean cuentas de Facebook

En marzo de 2023, se descubrieron dos extensiones maliciosas en Google Chrome Web Store con unos pocos días de diferencia. Ambas aprovechaban el revuelo en torno al servicio de inteligencia artificial (IA) de ChatGPT. Una de ellas era una copia infectada de la extensión legítima “ChatGPT for Google”, que ofrece la integración de las respuestas de ChatGPT en los resultados del motor de búsqueda.

La extensión “ChatGPT for Google” infectada se cargó en Chrome Web Store el 14 de febrero de 2023. Sus creadores esperaron un tiempo y solo comenzaron a difundirlo activamente precisamente un mes después, el 14 de marzo de 2023, mediante anuncios de Búsqueda de Google. Los delincuentes lograron atraer alrededor de mil usuarios nuevos por día, lo que resultó en más de 9000 descargas cuando se descubrió la amenaza.

La versión infectada de “ChatGPT for Google” se parecía a la real. Fuente

La copia troyanizada de “ChatGPT for Google” funcionaba igual que la real, pero con una funcionalidad maliciosa adicional: la versión infectada incluía un código adicional diseñado para robar las cookies de inicio de sesión de Facebook almacenadas por el navegador. A través de estos archivos, los atacantes lograron piratear las cuentas de Facebook de los usuarios que habían instalado la extensión infectada.

Las cuentas vulneradas podían usarse con fines ilegales. Como ejemplo, los investigadores mencionaron una cuenta de Facebook perteneciente a un fabricante de casas móviles, que comenzó a promocionar contenido de ISIS después del ataque.

Después de ser pirateada, la cuenta de Facebook comenzó a promocionar contenido de ISIS. Fuente

En el otro caso, los estafadores crearon una extensión completamente original llamada “Quick access to Chat GPT”. De hecho, la extensión realmente funcionaba como prometía, como intermediaria entre los usuarios y ChatGPT utilizando la API oficial del servicio de IA. Sin embargo, su verdadera finalidad era robar las cookies de inicio de sesión de Facebook y permitirles a los creadores de la extensión piratear cuentas comerciales de Facebook.

Extensión maliciosa “Quick access to Chat GPT”. Fuente

Lo más interesante es que, para promocionar esta extensión maliciosa, los perpetradores usaron anuncios de Facebook pagados por… ¡así es! ¡las cuentas comerciales que ya habían pirateado! Este astuto esquema permitió a los creadores de “Quick access to Chat GPT” atraer a unos miles de nuevos usuarios por día. Finalmente, se eliminaron de la tienda ambas extensiones maliciosas.

ChromeLoader: contenido pirateado con extensiones maliciosas

A menudo, los creadores de extensiones maliciosas no las colocan en Google Chrome Web Store sino que las distribuyen de otras formas. Por ejemplo, hace unos meses, los investigadores notaron una nueva campaña maliciosa relacionada con el malware ChromeLoader, ya conocido en el campo de la ciberseguridad. La finalidad principal de este troyano es instalar una extensión maliciosa en el navegador de la víctima.

Esta extensión, a su vez, muestra anuncios intrusivos en el navegador y falsifica los resultados de la búsqueda con enlaces que conducen a sorteos de premios falsos, encuestas, sitios de citas, juegos para adultos, software no deseado, etc.

Este año, los atacantes han estado utilizando diverso contenido pirateado como cebo para que las víctimas instalen ChromeLoader. Por ejemplo, en febrero de 2023, los investigadores informaron de la propagación de ChromeLoader a través de archivos VHD (un formato de imagen de disco) disfrazados de juegos pirateados o “cracks” de juegos. Entre los juegos utilizados por los distribuidores se encontraban Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart y Animal Crossing, entre otros. Como te imaginarás, todos estos archivos VHD contenían el instalador de la extensión maliciosa.

Unos meses después, en junio de 2023, otro grupo de investigadores publicó un informe detallado sobre las actividades del mismo ChromeLoader, donde se detallaba su difusión a través de una red de sitios que ofrecen música, películas y, una vez más, juegos de ordenador pirateados. En esta campaña, en lugar de contenido genuino, se descargaban archivos VBScript en los ordenadores de las víctimas, que luego se cargaban e instalaban la extensión maliciosa del navegador.

Uno de los sitios que distribuyó el malware ChromeLoader bajo la apariencia de contenido pirateado. Fuente

Aunque los resultados de búsqueda alterados alertan rápidamente a las víctimas de la presencia de la extensión peligrosa en su navegador, deshacerse de ella no es tan fácil. ChromeLoader no solo instala la extensión maliciosa, sino que también añade scripts y tareas del Programador de tareas de Windows al sistema que reinstalan la extensión cada vez que el sistema se reinicia.

Piratas informáticos que leen la correspondencia de Gmail mediante una extensión de espionaje

En marzo de 2023, la Oficina Federal de Alemania para la Protección de la Constitución y la Agencia Nacional de Inteligencia de Corea del Sur emitieron un informe conjunto sobre las actividades del grupo ciberdelictivo Kimsuky. Este grupo utiliza una extensión infectada para navegadores basados en Chromium (Google Chrome, Microsoft Edge, así como el navegador surcoreano Naver Whale) para leer la correspondencia de Gmail de sus víctimas.

El ataque comienza cuando los perpetradores envían correos electrónicos a personas específicas de interés. El correo electrónico contiene un enlace a una extensión maliciosa llamada AF, junto con un texto que convence a la víctima de que instale la extensión. La extensión comienza a funcionar cuando la víctima abre Gmail en el navegador donde está instalada. Luego, AF envía automáticamente la correspondencia de la víctima al servidor C2 de los piratas informáticos.

De esta forma, Kimsuky logra acceder al contenido del buzón de correo de la víctima. Además, no necesitan recurrir a ningún truco para piratear este buzón; simplemente omiten la autenticación de dos factores. Como beneficio adicional, este método les permite hacer todo de manera muy discreta, especialmente evitando que Google envíe alertas a la víctima sobre el acceso a la cuenta desde un nuevo dispositivo o una ubicación sospechosa, que es lo que sucedería si la contraseña fuera robada.

Rilide: extensión maliciosa que roba criptomonedas y elude la autenticación de dos factores

Los delincuentes también suelen utilizar extensiones maliciosas para apuntar a las carteras de criptomonedas. En particular, los creadores de la extensión Rilide, descubierta en abril de 2023, la usan para rastrear la actividad del navegador relacionada con las criptomonedas de los usuarios infectados. Cuando la víctima visita sitios de una lista especificada, la extensión maliciosa roba información de la cartera de criptomonedas, inicios de sesión de correo electrónico y contraseñas.

Además, esta extensión recoge y envía el historial del navegador al servidor C2 y permite a los atacantes hacer capturas de pantalla. Pero la función más interesante de Rilide es su capacidad para omitir la autenticación de dos factores.

Cuando la extensión detecta que un usuario está a punto de realizar una transacción de criptomonedas en uno de los servicios en línea, inyecta un script en la página que reemplaza el cuadro de diálogo de entrada del código de confirmación y luego roba ese código. La cartera del destinatario del pago se reemplaza por una que pertenece a los atacantes y, finalmente, la extensión confirma la transacción utilizando el código robado.

Cómo se promocionó la extensión maliciosa de Rilide en X (Twitter) bajo la apariencia de juegos de cadena de bloques (blockchain). Fuente

Rilide ataca a los usuarios de navegadores basados en Chromium (Chrome, Edge, Brave y Opera) imitando una extensión legítima de Google Drive para evitar sospechas. Rilide parece venderse libremente en el mercado negro, por lo que es utilizada por delincuentes que no se conocen. Por esta razón, se han descubierto varios métodos de distribución, desde sitios web y correos electrónicos maliciosos hasta instaladores de juegos de cadena de bloques (blockchain) infectados promocionados en X (Twitter).

Uno de los métodos de distribución de Rilide particularmente interesantes fue a través de una presentación de PowerPoint engañosa. Esta presentación se hacía pasar por una guía de seguridad para los empleados de Zendesk, pero en realidad era una guía paso a paso para instalar la extensión maliciosa.

Una guía paso a paso para instalar la extensión maliciosa, disfrazada de presentación de seguridad para los empleados de Zendesk. Fuente

Decenas de extensiones maliciosas en Chrome Web Store, con 87 millones de descargas combinadas

Y, por supuesto, no podemos olvidar la historia del verano cuando los investigadores descubrieron varias docenas de extensiones maliciosas en Google Chrome Web Store, que en conjunto tenían más de 87 millones de descargas desde la tienda. Se trataba de varios tipos de complementos del navegador, desde herramientas para convertir archivos PDF y bloqueadores de anuncios hasta traductores y VPN.

Las extensiones se añadieron a Chrome Web Store en 2022 y 2021, por lo que, cuando se descubrieron, ya habían estado allí durante varios meses, un año o incluso más. Entre las revisiones de las extensiones, hubo algunas quejas de usuarios atentos que informaron que las extensiones falsificaban los resultados de búsqueda con anuncios. Desafortunadamente, los moderadores de Chrome Web Store ignoraron estas quejas. Las extensiones maliciosas solo se eliminaron de la tienda después de que dos grupos de investigadores de seguridad llamaron la atención de Google sobre el problema.

La más popular de las extensiones maliciosas, Autoskip para YouTube, tuvo más de nueve millones de descargas desde Google Chrome Web Store. Fuente

Cómo protegerte frente a las extensiones maliciosas

Como puedes ver, las extensiones de navegador peligrosas pueden llegar a tu ordenador de varias fuentes, incluida la tienda web oficial de Google Chrome. Y los atacantes pueden usarlas para una amplia gama de finalidades, desde piratear cuentas y alterar los resultados de búsqueda hasta leer correspondencia y robar criptomonedas. En consecuencia, es importante tomar precauciones:

• Trata de evitar instalar extensiones de navegador innecesarias. Cuantas menos extensiones tengas en tu navegador, mejor.
• Si instalas una extensión, es mejor hacerlo desde una tienda oficial que desde un sitio web desconocido. Claro, esto no elimina por completo el riesgo de encontrar extensiones peligrosas, pero al menos Google Chrome Web Store se toma en serio su seguridad.
• Antes de la instalación, lee las reseñas de una extensión. Si hay algún problema, es posible que alguien ya lo haya notado e informado a otros usuarios.
• Revisa periódicamente la lista de extensiones instaladas en tus navegadores. Elimina las que no uses, especialmente las que no recuerdes haber instalado.
• Y asegúrate de instalar una protección fiable en todos tus dispositivos.