Un conjunto de 18 extensiones de navegador maliciosas que aún están disponibles para descargar en Google Chrome y Microsoft Edge han sido identificados por un equipo de investigadores de seguridad en KOI Security. Estas extensiones se basan en herramientas de productividad y entretenimiento en diversas categorías, incluidos teclados de emoji, pronósticos meteorológicos, controladores de velocidad de video, proxies VPN para discordia y tiktok, temas oscuros, refuerzos de volumen y desbloqueadores de YouTube. Todos ofrecen un servicio funcional, que se anuncia, al tiempo que implementan en secreto la vigilancia del navegador y las capacidades de secuestro. Han infectado a más de 2.3 millones de usuarios de navegador hasta la fecha. Varias de estas extensiones fueron verificadas por Google y Microsoft o habían presentado una ubicación en la tienda web de Chrome o en la tienda Edge Add-on. Si bien cada extensión opera con su propio subdominio de comando y control, dando la apariencia de operadores separados, los investigadores descubrieron que las 18 extensiones son parte de la misma infraestructura de ataque centralizado. La campaña ha sido denominada RedDirection y Koi Security compartieron sus hallazgos en un informe del 8 de julio en la página Medium de Dardikman. Las extensiones legítimas se volvieron maliciosas en las actualizaciones posteriores de la primera extensión que identificaron los investigadores de seguridad de KOI, llamado ‘Picker de color, EyedRopper – GeCo Colorpick’, aparece como una extensión cromada aparentemente benigna con más de 100,000 instalaciones y más de 800 revisiones. En realidad, esta extensión también ofrece una puerta trasera maliciosa de comando y control (C2), lo que permite a un atacante rastrear cada sitio web visitado por sus usuarios. Al encontrar esta extensión, Idan Dardikman y sus compañeros investigadores de Koi Security cavaron más profundamente. Encontraron 11 extensiones de cromo y siete extensiones de borde con capacidades similares. Para evitar ser bloqueados por los filtros de seguridad de Google y Microsoft, las extensiones de RedDirection se crearon inicialmente como extensiones limpias y luego se actualizaron con malware en versiones posteriores que se instalaron automáticamente, sin entrada del usuario; a veces años después se lanzó la versión inicial. «El proceso de verificación de Google y Microsoft no pudo detectar malware sofisticado en once extensiones diferentes, en su lugar promoviendo varios a los usuarios a través de insignias de verificación y ubicación destacada», explicó Dardikman. El código malicioso que se agregó a las extensiones permite que un atacante: capture las URL de las páginas que visitan los usuarios, envíelos a un servidor remoto junto con las ID de seguimiento únicas de los usuarios reciben URL de redirección potenciales del servidor C2 que redirige automáticamente el navegador si se les indica que los actores de la amenaza de amenaza de la amenaza de la campaña están a la altura de las amenazas que están a la altura. Para los usuarios de Chrome y Edge que tienen una de las 18 extensiones maliciosas instaladas, Dardikman recomendó eliminarlos inmediatamente, limpiando los datos del navegador para eliminar los identificadores de seguimiento almacenado, ejecutando una exploración de malware del sistema completa para verificar las infecciones adicionales y monitorear sus cuentas por cualquier actividad sospechosa si visitaban sitios sensibles. El Equipo de Investigadores de Seguridad KOI informó sus hallazgos a Google y Microsoft, pero ninguna de las empresas respondió al momento de escribir. Leer ahora: Expertos de seguridad Flañran la extensión de Chrome utilizando el motor AI para actuar sin la entrada del usuario
Deja una respuesta