{"id":29510,"date":"2023-12-21T14:57:29","date_gmt":"2023-12-21T12:57:29","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=29510"},"modified":"2023-12-21T14:57:29","modified_gmt":"2023-12-21T12:57:29","slug":"dangerous-browser-extensions-2023","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/dangerous-browser-extensions-2023\/29510\/","title":{"rendered":"Extensiones de navegador peligrosas"},"content":{"rendered":"

Vamos a analizar los casos m\u00e1s interesantes, inusuales, extendidos y peligrosos relacionados con extensiones maliciosas en 2023. Tambi\u00e9n hablaremos de lo que eran capaces estas extensiones y, por supuesto, c\u00f3mo protegerte de ellas.<\/p>\n

Extensiones de Roblox con una puerta trasera<\/h2>\n

Para establecer el tono y tambi\u00e9n resaltar una de las mayores preocupaciones asociadas con las extensiones peligrosas, comencemos con una historia que comenz\u00f3 el a\u00f1o pasado. En noviembre de 2022, se descubrieron<\/a> dos extensiones maliciosas con el mismo nombre, SearchBlox, en Chrome Web Store, la tienda oficial de extensiones del navegador Google Chrome. Una de estas extensiones tuvo m\u00e1s de 200.000 descargas.<\/p>\n

La finalidad declarada de las extensiones era buscar un jugador espec\u00edfico en los servidores de Roblox. Sin embargo, su finalidad real era piratear las cuentas de los jugadores de Roblox y robar sus activos en el juego. Despu\u00e9s de que la informaci\u00f3n sobre estas extensiones maliciosas se publicara<\/a> en BleepingComputer, se eliminaron de Chrome Web Store y se eliminaron autom\u00e1ticamente de los dispositivos de los usuarios que las hab\u00edan instalado.<\/p>\n

\"SearchBlox:<\/a>

Las extensiones maliciosas de SearchBlox publicadas en Chrome Web Store de Google piratearon las cuentas de los jugadores de Roblox. Fuente. <\/a><\/p><\/div>\n

Sin embargo, la historia de Roblox no termina ah\u00ed. En agosto de 2023, se descubrieron dos extensiones maliciosas m\u00e1s de naturaleza similar, RoFinder y RoTracker<\/a>, en Chrome Web Store. Al igual que SearchBlox, estos complementos permit\u00edan a los usuarios buscar a otros jugadores en los servidores de Roblox, pero en realidad ten\u00edan una puerta trasera incorporada. La comunidad de usuarios de Roblox finalmente logr\u00f3 eliminar estas extensiones de la tienda.<\/p>\n

\"RoTracker:<\/a>

La extensi\u00f3n maliciosa RoTracker, tambi\u00e9n alojada en Chrome Web Store de Google. Fuente<\/a>.<\/p><\/div>\n

Esto sugiere que la calidad de la moderaci\u00f3n en la plataforma m\u00e1s oficial del mundo para descargar extensiones de Google Chrome deja mucho que desear y es bastante f\u00e1cil para los creadores de extensiones maliciosas introducir sus creaciones all\u00ed. Para que los moderadores detecten extensiones peligrosas y las eliminen de la tienda, las revisiones de los usuarios afectados rara vez son suficientes; a menudo, se requieren esfuerzos de los medios de comunicaci\u00f3n, los investigadores de seguridad o una gran comunidad en Internet.<\/p>\n

Extensiones falsas de ChatGPT que piratean cuentas de Facebook<\/h2>\n

En marzo de 2023, se descubrieron<\/a> dos extensiones maliciosas<\/a> en Google Chrome Web Store con unos pocos d\u00edas de diferencia. Ambas aprovechaban el revuelo en torno al servicio de inteligencia artificial (IA) de ChatGPT. Una de ellas era una copia infectada de la extensi\u00f3n leg\u00edtima \u201cChatGPT for Google\u201d, que ofrece la integraci\u00f3n de las respuestas de ChatGPT en los resultados del motor de b\u00fasqueda.<\/p>\n

La extensi\u00f3n \u201cChatGPT for Google\u201d infectada se carg\u00f3 en Chrome Web Store el 14 de febrero de 2023. Sus creadores esperaron un tiempo y solo comenzaron a difundirlo activamente precisamente un mes despu\u00e9s, el 14 de marzo de 2023, mediante anuncios de B\u00fasqueda de Google. Los delincuentes lograron atraer alrededor de mil usuarios nuevos por d\u00eda, lo que result\u00f3 en m\u00e1s de 9.000 descargas cuando se descubri\u00f3 la amenaza.<\/p>\n

\"Versi\u00f3n<\/a>

La versi\u00f3n infectada de \u201cChatGPT for Google\u201d se parec\u00eda a la real. Fuente.<\/a><\/p><\/div>\n

La copia troyanizada de \u201cChatGPT for Google\u201d funcionaba igual que la real, pero con una funcionalidad maliciosa adicional: la versi\u00f3n infectada inclu\u00eda un c\u00f3digo adicional dise\u00f1ado para robar las cookies de inicio de sesi\u00f3n de Facebook almacenadas por el navegador. A trav\u00e9s de estos archivos, los atacantes lograron piratear las cuentas de Facebook de los usuarios que hab\u00edan instalado la extensi\u00f3n infectada.<\/p>\n

Las cuentas vulneradas pod\u00edan usarse con fines ilegales. Como ejemplo, los investigadores mencionaron una cuenta de Facebook perteneciente a un fabricante de casas m\u00f3viles, que comenz\u00f3 a promocionar contenido de ISIS despu\u00e9s del ataque.<\/p>\n

\"Cuenta<\/a>

Despu\u00e9s de ser pirateada, la cuenta de Facebook comenz\u00f3 a promocionar contenido de ISIS. Fuente<\/a>.<\/p><\/div>\n

En el otro caso, los estafadores crearon una extensi\u00f3n completamente original llamada \u201cQuick access to Chat GPT\u201d. De hecho, la extensi\u00f3n realmente funcionaba como promet\u00eda, como intermediaria entre los usuarios y ChatGPT utilizando la API oficial del servicio de IA. Sin embargo, su verdadera finalidad era robar las cookies de inicio de sesi\u00f3n de Facebook y permitirles a los creadores de la extensi\u00f3n piratear cuentas comerciales de Facebook.<\/p>\n

Extensi\u00f3n maliciosa \"Quick access to Chat GPT\"<\/a>

Extensi\u00f3n maliciosa \u201cQuick access to Chat GPT\u201d. Fuente<\/a>.<\/p><\/div>\n

Lo m\u00e1s interesante es que, para promocionar esta extensi\u00f3n maliciosa, los perpetradores usaron anuncios de Facebook pagados por\u2026 \u00a1as\u00ed es! \u00a1las cuentas comerciales que ya hab\u00edan pirateado! Este astuto esquema permiti\u00f3 a los creadores de \u201cQuick access to Chat GPT\u201d atraer a unos miles de nuevos usuarios por d\u00eda. Finalmente, se eliminaron de la tienda ambas extensiones maliciosas.<\/p>\n

ChromeLoader: contenido pirateado con extensiones maliciosas<\/h2>\n

A menudo, los creadores de extensiones maliciosas no las colocan en Google Chrome Web Store sino que las distribuyen de otras formas. Por ejemplo, hace unos meses, los investigadores notaron una nueva campa\u00f1a maliciosa relacionada con el malware ChromeLoader, ya conocido en el campo de la ciberseguridad. La finalidad principal de este troyano es instalar una extensi\u00f3n maliciosa en el navegador de la v\u00edctima.<\/p>\n

Esta extensi\u00f3n, a su vez, muestra anuncios intrusivos en el navegador y falsifica los resultados de la b\u00fasqueda con enlaces que conducen a sorteos de premios falsos, encuestas, sitios de citas, juegos para adultos, software no deseado, etc.<\/p>\n

Este a\u00f1o, los atacantes han estado utilizando diverso contenido pirateado como cebo para que las v\u00edctimas instalen ChromeLoader. Por ejemplo, en febrero de 2023<\/a>, los investigadores informaron de la propagaci\u00f3n de ChromeLoader a trav\u00e9s de archivos VHD<\/a> (un formato de imagen de disco) disfrazados de juegos pirateados o \u201ccracks\u201d de juegos. Entre los juegos utilizados por los distribuidores se encontraban Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart y Animal Crossing, entre otros. Como te imaginar\u00e1s, todos estos archivos VHD conten\u00edan el instalador de la extensi\u00f3n maliciosa.<\/p>\n

Unos meses despu\u00e9s, en junio de 2023<\/a>, otro grupo de investigadores public\u00f3 un informe detallado sobre las actividades del mismo ChromeLoader, donde se detallaba su difusi\u00f3n a trav\u00e9s de una red de sitios que ofrecen m\u00fasica, pel\u00edculas y, una vez m\u00e1s, juegos de ordenador pirateados. En esta campa\u00f1a, en lugar de contenido genuino, se descargaban archivos VBScript<\/a> en los ordenadores de las v\u00edctimas, que luego se cargaban e instalaban la extensi\u00f3n maliciosa del navegador.<\/p>\n

\"El<\/a>

Uno de los sitios que distribuy\u00f3 el malware ChromeLoader bajo la apariencia de contenido pirateado. Fuente<\/a>.<\/p><\/div>\n

Aunque los resultados de b\u00fasqueda alterados alertan r\u00e1pidamente a las v\u00edctimas de la presencia de la extensi\u00f3n peligrosa en su navegador, deshacerse de ella no es tan f\u00e1cil. ChromeLoader no solo instala la extensi\u00f3n maliciosa, sino que tambi\u00e9n a\u00f1ade scripts y tareas del Programador de tareas de Windows al sistema que reinstalan la extensi\u00f3n cada vez que el sistema se reinicia.<\/p>\n

Ciberdelincuentes que leen la correspondencia de Gmail mediante una extensi\u00f3n de espionaje<\/h2>\n

En marzo de 2023, la Oficina Federal de Alemania para la Protecci\u00f3n de la Constituci\u00f3n y la Agencia Nacional de Inteligencia de Corea del Sur emitieron<\/a> un informe conjunto sobre las actividades del grupo ciberdelictivo Kimsuky<\/a>. Este grupo utiliza una extensi\u00f3n infectada para navegadores basados en Chromium (Google Chrome, Microsoft Edge, as\u00ed como el navegador surcoreano Naver Whale) para leer la correspondencia de Gmail de sus v\u00edctimas.<\/p>\n

El ataque comienza cuando los perpetradores env\u00edan correos electr\u00f3nicos a personas espec\u00edficas de inter\u00e9s. El correo electr\u00f3nico contiene un enlace a una extensi\u00f3n maliciosa llamada AF, junto con un texto que convence a la v\u00edctima de que instale la extensi\u00f3n. La extensi\u00f3n comienza a funcionar cuando la v\u00edctima abre Gmail en el navegador donde est\u00e1 instalada. Luego, AF env\u00eda autom\u00e1ticamente la correspondencia de la v\u00edctima al servidor C2 de los piratas inform\u00e1ticos.<\/p>\n

De esta forma, Kimsuky logra acceder al contenido del buz\u00f3n de correo de la v\u00edctima. Adem\u00e1s, no necesitan recurrir a ning\u00fan truco para piratear este buz\u00f3n; simplemente omiten la autenticaci\u00f3n de dos factores. Como beneficio adicional, este m\u00e9todo les permite hacer todo de manera muy discreta, especialmente evitando que Google env\u00ede alertas a la v\u00edctima sobre el acceso a la cuenta desde un nuevo dispositivo o una ubicaci\u00f3n sospechosa, que es lo que suceder\u00eda si la contrase\u00f1a fuera robada.<\/p>\n

Rilide: extensi\u00f3n maliciosa que roba criptomonedas y elude la autenticaci\u00f3n de dos factores<\/h2>\n

Los delincuentes tambi\u00e9n suelen utilizar extensiones maliciosas para apuntar a las carteras de criptomonedas. En particular, los creadores de la extensi\u00f3n Rilide, descubierta en abril de 2023<\/a>, la usan para rastrear la actividad del navegador relacionada con las criptomonedas de los usuarios infectados. Cuando la v\u00edctima visita sitios de una lista especificada, la extensi\u00f3n maliciosa roba informaci\u00f3n de la cartera de criptomonedas, inicios de sesi\u00f3n de correo electr\u00f3nico y contrase\u00f1as.<\/p>\n

Adem\u00e1s, esta extensi\u00f3n recoge y env\u00eda el historial del navegador al servidor C2 y permite a los atacantes hacer capturas de pantalla. Pero la funci\u00f3n m\u00e1s interesante de Rilide es su capacidad para omitir la autenticaci\u00f3n de dos factores.<\/p>\n

Cuando la extensi\u00f3n detecta que un usuario est\u00e1 a punto de realizar una transacci\u00f3n de criptomonedas en uno de los servicios en l\u00ednea, inyecta un script en la p\u00e1gina que reemplaza el cuadro de di\u00e1logo de entrada del c\u00f3digo de confirmaci\u00f3n y luego roba ese c\u00f3digo. La cartera del destinatario del pago se reemplaza por una que pertenece a los atacantes y, finalmente, la extensi\u00f3n confirma la transacci\u00f3n utilizando el c\u00f3digo robado.<\/p>\n

\"Promoci\u00f3n<\/a>

C\u00f3mo se promocion\u00f3 la extensi\u00f3n maliciosa de Rilide en X (Twitter) bajo la apariencia de juegos de cadena de bloques (blockchain). Fuente<\/a>.<\/p><\/div>\n

Rilide ataca a los usuarios de navegadores basados en Chromium (Chrome, Edge, Brave y Opera) imitando una extensi\u00f3n leg\u00edtima de Google Drive para evitar sospechas. Rilide parece venderse libremente en el mercado negro, por lo que es utilizada por delincuentes que no se conocen. Por esta raz\u00f3n, se han descubierto varios m\u00e9todos de distribuci\u00f3n, desde sitios web y correos electr\u00f3nicos maliciosos hasta instaladores de juegos de cadena de bloques (blockchain)<\/a> infectados promocionados en X (Twitter)<\/span>.<\/p>\n

Uno de los m\u00e9todos de distribuci\u00f3n de Rilide particularmente interesantes fue a trav\u00e9s de una presentaci\u00f3n de PowerPoint enga\u00f1osa<\/a>. Esta presentaci\u00f3n se hac\u00eda pasar por una gu\u00eda de seguridad para los empleados de Zendesk, pero en realidad era una gu\u00eda paso a paso para instalar la extensi\u00f3n maliciosa.<\/p>\n

\"Gu\u00eda<\/a>

Una gu\u00eda paso a paso para instalar la extensi\u00f3n maliciosa, disfrazada de presentaci\u00f3n de seguridad para los empleados de Zendesk. Fuente<\/a>.<\/p><\/div>\n

Decenas de extensiones maliciosas en Chrome Web Store, con 87 millones de descargas combinadas<\/h2>\n

Y, por supuesto, no podemos olvidar la historia del verano cuando los investigadores descubrieron varias docenas de extensiones maliciosas<\/a> en Google Chrome Web Store, que en conjunto ten\u00edan m\u00e1s de 87 millones de descargas desde la tienda. Se trataba de varios tipos de complementos del navegador, desde herramientas para convertir archivos PDF y bloqueadores de anuncios hasta traductores y VPN.<\/p>\n

Las extensiones se a\u00f1adieron a Chrome Web Store en 2022 y 2021, por lo que, cuando se descubrieron, ya hab\u00edan estado all\u00ed durante varios meses, un a\u00f1o o incluso m\u00e1s. Entre las revisiones de las extensiones, hubo algunas quejas de usuarios atentos que informaron que las extensiones falsificaban los resultados de b\u00fasqueda con anuncios. Desafortunadamente, los moderadores de Chrome Web Store ignoraron estas quejas. Las extensiones maliciosas solo se eliminaron de la tienda despu\u00e9s de que dos grupos de investigadores de seguridad llamaron la atenci\u00f3n de Google sobre el problema.<\/p>\n

\"Extensi\u00f3n<\/a>

La m\u00e1s popular de las extensiones maliciosas, Autoskip para YouTube, tuvo m\u00e1s de nueve millones de descargas desde Google Chrome Web Store. Fuente<\/a>.<\/p><\/div>\n

C\u00f3mo protegerte frente a las extensiones maliciosas<\/h2>\n

Como puedes ver, las extensiones de navegador peligrosas pueden llegar a tu ordenador por varias fuentes, incluida la tienda web oficial de Google Chrome. Y los atacantes pueden usarlas para una amplia gama de finalidades, desde piratear cuentas y alterar los resultados de b\u00fasqueda hasta leer correspondencia y robar criptomonedas. En consecuencia, es importante tomar precauciones:<\/p>\n