Un actor de amenazas conocido como Panda sombrío se ha vinculado a una campaña de extensión de navegador de siete años de duración que ha acumulado más de 4,3 millones de instalaciones a lo largo del tiempo.
Cinco de estas extensiones comenzaron como programas legítimos antes de que se introdujeran cambios maliciosos a mediados de 2024, según un informe de Koi Security, que atrae 300 000 instalaciones. Estas extensiones se han retirado desde entonces.
«Estas extensiones ahora ejecutan código de forma remota cada hora, descargando y ejecutando JavaScript arbitrario con acceso completo al navegador», dijo el investigador de seguridad Tuval Admoni en un informe compartido con The Hacker News. «Supervisan cada visita a un sitio web, filtran el historial de navegación cifrado y recopilan las huellas digitales completas del navegador».
Para empeorar las cosas, Google presentó y verificó una de las extensiones, Clean Master, en un momento dado. Este ejercicio de fomento de la confianza permitió a los atacantes ampliar su base de usuarios y publicar silenciosamente actualizaciones maliciosas años después sin despertar ninguna sospecha.
Mientras tanto, otro conjunto de cinco complementos del mismo editor está diseñado para controlar cada URL visitada por sus usuarios, así como para registrar las consultas en los motores de búsqueda y los clics del ratón, y transmitir la información a los servidores ubicados en China. Estas extensiones se han instalado unos cuatro millones de veces, con WeTab lo que representa por sí solo tres millones de instalaciones.
Se dice que los primeros signos de actividad maliciosa se observaron en 2023, cuando los desarrolladores «nuggetsno15" y «rocket Zhang» publicaron 20 extensiones en Chrome Web Store y 125 extensiones en Microsoft Edge, respectivamente. Todas las extensiones identificadas se hacían pasar por aplicaciones de fondo de pantalla o de productividad.
Se descubrió que estas extensiones cometían fraudes con los afiliados al inyectar sigilosamente códigos de seguimiento cuando los usuarios visitaban eBay, Booking.com o Amazon para generar comisiones ilícitas por las compras de los usuarios. A principios de 2024, el ataque pasó de las inyecciones aparentemente inofensivas al control activo del navegador mediante la redirección de las consultas de búsqueda, la recolección de consultas de búsqueda y la exfiltración de cookies de dominios específicos.
«Todas las búsquedas en la web se redirigían a través de trovi.com, un conocido secuestrador de navegadores», dijo Koi. «Las consultas de búsqueda se registraban, monetizaban y vendían. Resultados de búsqueda manipulados con fines de lucro».
A mediados de 2024, se modificaron cinco extensiones, tres de las cuales habían estado funcionando legítimamente durante años, para distribuir una actualización maliciosa que introdujo una funcionalidad similar a la de una puerta trasera al comprobar el dominio «api.extensionplay [.] com» una vez cada hora para recuperar una carga útil de JavaScript y ejecutarla.
La carga útil, por su parte, está diseñada para monitorear cada visita al sitio web y enviar los datos en formato cifrado a un servidor de ShadyPanda («tienda api.cleanmasters [.]»), junto con una huella digital detallada del navegador. Además de utilizar una amplia ofuscación para ocultar la funcionalidad, cualquier intento de acceder a las herramientas de desarrollo del navegador provoca que este cambie a un comportamiento benigno.
Además, las extensiones pueden organizar ataques de adversarios intermedios (AiTM) para facilitar el robo de credenciales, el secuestro de sesiones y la inyección de código arbitrario en cualquier sitio web.
La actividad pasó a la fase final cuando otras cinco extensiones publicadas alrededor de 2023 en el centro de complementos de Microsoft Edge, incluida WeTab, aprovecharon su enorme base de instalaciones para permitir una vigilancia integral, incluida la recopilación de todas las URL visitadas, las consultas de búsqueda, los clics del ratón, las cookies y las huellas dactilares del navegador.
También vienen equipados con funciones para recopilar información sobre la forma en que la víctima interactúa con una página web, como el tiempo que dedica a verla y el comportamiento de desplazamiento. La extensión WeTab todavía está disponible para su descarga en el momento de escribir este artículo.
Los hallazgos muestran el panorama de una campaña sostenida que se desarrolló en cuatro fases distintas, convirtiendo progresivamente las extensiones del navegador de una herramienta legítima a un software espía para recopilar datos. Sin embargo, cabe señalar que no está claro si los atacantes exageraron artificialmente las descargas para darles una ilusión de legitimidad.
Se recomienda a los usuarios que instalaron las extensiones que las eliminen de inmediato y cambien sus credenciales por precaución.
«El mecanismo de actualización automática, diseñado para mantener a los usuarios seguros, se convirtió en el vector de ataque», dijo Koi. «La fiable cadena de actualizaciones de Chrome y Edge distribuía malware a los usuarios de forma silenciosa. Sin suplantación de identidad. Sin ingeniería social. Solo extensiones confiables con versiones más silenciosas que convertían las herramientas de productividad en plataformas de vigilancia».
«El éxito de ShadyPanda no se basa solo en la sofisticación técnica. Se trata de explotar sistemáticamente la misma vulnerabilidad durante siete años: los mercados revisan las extensiones en el momento en que se presentan. No ven lo que ocurre después de la aprobación».