Piratas informáticos logran infectar extensiones legítimas de Google Chrome con malware
Unos ciberdelincuentes han conseguido introducir un código malicioso en extensiones legítimas de Google Chrome. Una de las empresas desarrolladoras afectadas, Cyberhaven, descubrió que los piratas informáticos habían infectado su extensión con un malware que robaba cookies del navegador y sesiones de autenticación. Sin embargo, no han sido los únicos perjudicados, según ha desvelado la agencia de comunicación Reuters.
Al menos cinco extensiones de Chrome se han visto comprometidas por un ciberataque que les introdujo un troyano para acceder información confidencial de los usuarios. Los primeros en alertar de ello fueron los de Cyberhaven. Por lo visto, un hacker consiguió lanzar una versión maliciosa de su extensión (24.10.4) capaz de filtrar sesiones autenticadas y cookies al dominio atacante. La firma indicaba que el ataque se debía a un correo electrónico de phishing en el que había caído un empleado.
Nada más saberse, corrigieron la situación, pero recomendaban a sus consumidores cambiar las contraseñas que no fuesen FIDOv2 (el estándar más reciente que incorpora el estándar de autenticación web). También aconsejaban revisar los registros del navegador por si hubiese rastros de actividad sospechosa.
Cyberhaven@CyberhavenIncOur team has confirmed a malicious cyberattack that occurred on Christmas Eve, affecting Cyberhaven’s Chrome extension. Here’s our post about the incident and the steps we’re taking: https://t.co/VTBC73eWdaOur security team is available 24/7 to assist affected customers and… https://t.co/BkJHRose3E
Cyberhaven’s Chrome extension security incident and what we’re doing about itDe cyberhaven.com27 de diciembre, 2024 • 20:52
6
1
Después de conocerse esta vulneración en una extensión de Chrome, el investigador de ciberseguridad Jaime Blasco, de Nudge Security, indagó en busca de más posibles extensiones afectadas. Este profesional se centró en las direcciones IP y los dominios registrados del atacante y ha dado con cinco extensiones de Chrome más con el malware.
Cyberhaven indica que los datos robados van a parar a «plataformas de publicidad en redes sociales e inteligencia artificial específicas». No obstante, Blasco asegura que el blanco de extensiones a las que infectar es «simplemente aleatorio». Además, más allá del ciberataque, el experto en seguridad informática ha asegurado que ha ido encontrando extensiones de VPN y de IA que contienen el mismo código malicioso.
Extensiones de Google Chrome perjudicadas
No solo Cyberhaven ha sido afectada por el ciberataque, también tenemos estas otras extensiones, tal y como ha descubierto Blasco:
- Internxt VPN. Una VPN gratuita y cifrada que está pensada para proporcionar una navegación segura. Cuenta con 10.000 instalaciones.
- VPNCity: otra VPN enfocada en la privacidad con cifrado AES de 256 y que proporciona cobertura global de servidores. Tiene 50.000 usuarios.
- Uvoice. Es un sistema de recompensas que te da puntos a cambio de encuestas y de proporcionar datos de uso del ordenador. Dispone de 40.000 descargas.
- ParrotTalks. Es un servicio de búsqueda de información especializada en texto. Cuenta con 40.000 internautas.
Jaime Blasco@jaimeblascobThere is code to receive commands from the malicious domain: https://t.co/TawMBXDwhM27 de diciembre, 2024 • 01:58
14
0
Hay otros dominios que también han sido potencialmente infectados con el mismo código malicioso, según ha comentado Blasco. Estos son bookmarkfc[.]info, vpncity[.]live, castorus[.]info, parrottalks[.]info, primusext[.]pro, censortracker[.]pro, uvoice[.]live, iobit[.]pro, moonsift[.]store, yujaverity[.]info, wayinai[.]live, readermodeext[.]info y policyextension[.]info.
Otro investigador de ciberseguridad llamado John Tuckner también ha analizado el código malicioso. En su caso, ha dado con unas cuantas extensiones vulneradas por el mismo malware que son Bookmark Favicon Changer, Castorus, Wayin AI, Search Copilot AI Assistant, VidHelper, Vidnoz Flex, TinaMind, Primus, AI Shop Buddy, Ordenar por más antiguo, Earny, ChatGPT Assistant, Keyboard History Recorder y Email Hunter. En total, estas extensiones de Chrome suman casi 380.000 descargas, por lo que el robo de datos ha sido considerablemente grande.
¿Qué hacer si he instalado una extensión afectada?
Pese a que las extensiones de Chrome de las que vayamos a hablar sean legítimas, han sido vulneradas. Eso implica que cierta información de los usuarios que las tengan instaladas en su navegador web podrían estar en problemas. Por lo tanto, aquellos que las tengan instaladas deberían revisar sus registros y cambiar sus contraseñas.
Lo mejor que pueden hacer los internautas para asegurarse de que no les roben los datos es eliminar las extensiones o actualizarlas a una versión segura. Teniendo en cuenta que el troyano se descubrió el 26 de diciembre, los usuarios deberán cerciorarse de que los desarrolladores hayan sido conocedores del problema de seguridad y hayan lanzado una actualización posterior a dicha fecha.