Los investigadores de ciberseguridad tienen descubierto dos extensiones maliciosas de Google Chrome con el mismo nombre y publicadas por el mismo desarrollador que vienen con capacidades para interceptar el tráfico y capturar las credenciales de los usuarios.

Las extensiones se anuncian como un «complemento de prueba de velocidad de red en múltiples ubicaciones» para desarrolladores y personal de comercio exterior. Ambos complementos del navegador están disponibles para su descarga en el momento de escribir este artículo. Los detalles de las extensiones son los siguientes:

  • Phantom Shuttle (ID: fbfldogmkadejddihifklefknmikncaj) - 2000 usuarios (Publicado el 26 de noviembre de 2017)
  • Phantom Shuttle (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd) - 180 usuarios (Publicado el 27 de abril de 2023)

«Los usuarios pagan suscripciones que oscilan entre 9,9 yenes y 95,9 yenes CNY (entre 1,40 y 13,50 dólares estadounidenses), creyendo que están comprando un servicio VPN legítimo, pero ambas variantes realizan operaciones maliciosas idénticas», afirma Kush Pandya, investigador de seguridad de Socket.

«Tras la fachada de las suscripciones, las extensiones interceptan completamente el tráfico mediante la inyección de credenciales de autenticación, funcionan como proxies intermediarios y filtran continuamente los datos de los usuarios al servidor C2 [de comando y control] del actor de amenazas».

Una vez que los usuarios desprevenidos realizan el pago, reciben el estatus VIP y las extensiones habilitan automáticamente el modo proxy «inteligente», que dirige el tráfico de más de 170 dominios objetivo a través de la infraestructura C2.

Las extensiones funcionan como se anuncia para reforzar la ilusión de un producto funcional. Realizan pruebas de latencia reales en servidores proxy y muestran el estado de la conexión, a la vez que mantienen a los usuarios al tanto de su objetivo principal, que es interceptar el tráfico de la red y robar las credenciales.

Esto implica modificaciones maliciosas que se anteponen a dos bibliotecas de JavaScript, a saber, jquery-1.12.2.min.js y scripts.js, que vienen incluidas con las extensiones. El código está diseñado para introducir automáticamente credenciales de proxy codificadas (topfany/963852wei) en todos los desafíos de autenticación HTTP de todos los sitios web mediante el registro de un oyente en chrome.webRequest.onAuthRequired.

«Cuando un sitio web o servicio solicita la autenticación HTTP (autenticación básica, autenticación implícita o autenticación de proxy), este oyente se activa antes de que el navegador muestre una solicitud de credenciales», explica Pandya. «Responde inmediatamente con las credenciales de proxy codificadas de forma totalmente transparente para el usuario. El modo AsyncBlocking garantiza la inyección sincrónica de credenciales, lo que evita cualquier interacción con el usuario».

Una vez que los usuarios se autentican en un servidor proxy, la extensión configura los ajustes de proxy de Chrome mediante una configuración automática de proxy ( PAC ) script para implementar tres modos -

  • cerrar, lo que desactiva la función de proxy
  • always, que enruta todo el tráfico web a través del proxy
  • smarty, que envía una lista codificada de más de 170 dominios de alto valor a través del proxy

La lista de dominios incluye plataformas para desarrolladores (GitHub, Stack Overflow, Docker), servicios en la nube (Amazon Web Services, Digital Ocean, Microsoft Azure), soluciones empresariales (Cisco, IBM, VMware), redes sociales (Facebook, Instagram, Twitter) y sitios de contenido para adultos. La inclusión de sitios pornográficos es probablemente un intento de chantajear a las víctimas, teorizó Socket.

El resultado neto de este comportamiento es que el tráfico web de los usuarios se dirige a través de proxies controlados por los actores de amenazas, mientras que la extensión mantiene una velocidad de 60 segundos hacia su servidor C2 en phantomshuttle [.] space, un dominio que permanece operativo. También otorga al atacante una posición de «intermediario» (MiTM) para capturar el tráfico, manipular las respuestas e inyectar cargas útiles arbitrarias.

Y lo que es más importante, el mensaje de latido transmite el correo electrónico, la contraseña en texto plano y el número de versión de un usuario VIP a un servidor externo a través de una solicitud HTTP GET cada cinco minutos para la exfiltración continua de credenciales y la supervisión de la sesión.

«La combinación de la exfiltración de latidos (credenciales y metadatos) y el proxy MitM (captura de tráfico en tiempo real) proporciona capacidades integrales de robo de datos que funcionan de forma continua mientras la extensión permanece activa», afirma Socket.

Dicho de otra manera, la extensión captura las contraseñas, los números de tarjetas de crédito, las cookies de autenticación, el historial de navegación, los datos de los formularios, las claves de API y los tokens de acceso de los usuarios que acceden a los dominios de destino mientras el modo VIP está activo. Además, el robo de los secretos de los desarrolladores podría allanar el camino para los ataques a la cadena de suministro.

Actualmente no se sabe quién está detrás de la operación, que ya lleva ocho años, pero el uso del idioma chino en la descripción de la extensión, la presencia de la integración entre Alipay/WeChat Pay para realizar pagos y el uso de Alibaba Cloud para alojar el dominio C2 apuntan a una operación con sede en China.

«El modelo de suscripción permite retener a las víctimas y, al mismo tiempo, generar ingresos, y la infraestructura profesional con integración de pagos presenta una fachada de legitimidad», afirma Socket. «Los usuarios creen que son comprar un servicio de VPN al tiempo que, sin saberlo, permite comprometer completamente el tráfico».

Los hallazgos destacan cómo las extensiones basadas en navegador se están convirtiendo en una capa de riesgo no administrada para las empresas. Se recomienda a los usuarios que hayan instalado las extensiones que las eliminen lo antes posible. Para los equipos de seguridad, es fundamental implementar listas de extensiones permitidas, supervisar las extensiones mediante sistemas de pago por suscripción combinados con permisos de proxy e implementar la supervisión de la red para detectar intentos sospechosos de autenticación mediante proxy.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.