2.3 Millones de Usuarios Infectados por Extensiones Verificadas de Chrome y Edge

Una grave violación de seguridad en los navegadores expuso a más de 2.3 millones de usuarios a malware, esto se hizo a través de extensiones verificadas de Chrome y Edge que parecían seguras.

Según una investigación de Koi Security, 18 extensiones en una campaña denominada RedDirection secuestraron secretamente navegadores, rastrearon las actividades de los usuarios y permitieron ataques adicionales a través de interfaces de confianza.

La principal extensión responsable del fallo de seguridad fue “Color Picker, Eyedropper — Geco colorpick”. La extensión cumplió con su funcionalidad prometida al proporcionar una característica completa de selección de color. La extensión operaba como una herramienta de selección de color, pero secretamente rastreaba todos los sitios web que los usuarios visitaban, transmitía datos de URL a servidores de comando y control, y redirigía a los usuarios a sitios web falsos.

“No se trata de alguna obvia extensión de estafa armada en un fin de semana”, escribieron los investigadores.

“Este es un caballo de Troya cuidadosamente elaborado que cumple exactamente lo que promete (un selector de colores funcional) mientras simultáneamente secuestra tu navegador, rastrea cada página web que visitas y mantiene una puerta trasera de comando y control persistente. No solo eso, sino que permaneció legítimo durante años antes de volverse malicioso a través de una actualización de versión”, señalaron las investigadoras.

De hecho, las investigadoras explican cómo estas extensiones estuvieron libres de código malicioso durante años antes de que se agregara a través de actualizaciones de versión silenciosas, un movimiento que se aprovechó de los sistemas de confianza de Google y Microsoft, incluyendo insignias de verificación y ubicaciones destacadas.

“Esto no es solo otro descubrimiento de malware”, dijeron los investigadores. “Es una prueba de que el modelo de seguridad del mercado actual está fundamentalmente roto”, agregó el equipo de investigación.

La campaña RedDirection incluyó extensiones populares que funcionaban como teclados de emojis, controladores de velocidad de video, proxies VPN y temas oscuros, los cuales parecían y operaban como herramientas estándar. Las extensiones operaban como una sola red a través de sus estructuras de malware idénticas y servidores de comando, para robar detalles de inicio de sesión, información bancaria e instalar malware adicional.

Koi Security aconseja a los usuarios eliminar las extensiones no confiables, mientras realizan la limpieza de datos del navegador, el escaneo de malware y el monitoreo de cuentas. El descubrimiento plantea dudas sobre el proceso de verificación de extensiones de Chrome y Edge, y la capacidad de los usuarios para confiar en las extensiones instaladas.

“Esto es un desastre en la cadena de suministro”, advirtieron los investigadores.