Cinco Nuevas Extensiones Maliciosas de Chrome Suplantan Plataformas HR y ERP para Robar Credenciales

Introducción

En un nuevo y sofisticado ataque dirigido a entornos corporativos, investigadores de ciberseguridad han detectado cinco extensiones maliciosas para Google Chrome que suplantan aplicaciones empresariales de recursos humanos (HR) y planificación de recursos empresariales (ERP), como Workday, NetSuite y SuccessFactors. Estas extensiones, diseñadas específicamente para infiltrar sistemas corporativos, permiten a los atacantes robar tokens de autenticación, obstaculizar la respuesta a incidentes y tomar el control total de las cuentas de usuario.

Contexto del Incidente

El hallazgo pone de manifiesto la tendencia al alza de los ataques dirigidos a la cadena de suministro y a las herramientas SaaS críticas utilizadas por empresas de todos los tamaños. Al camuflarse bajo la apariencia de extensiones legítimas, los atacantes logran eludir los controles de seguridad estándar y explotar la confianza de los usuarios en aplicaciones ampliamente reconocidas. La naturaleza multifásica de la campaña, así como la elección de plataformas orientadas a la gestión de recursos y usuarios, evidencia un conocimiento profundo del entorno empresarial y de las debilidades inherentes a la “Shadow IT” y la gestión de extensiones en navegadores corporativos.

Detalles Técnicos

Las extensiones maliciosas han sido identificadas bajo diferentes nombres que evocan funcionalidades legítimas de plataformas HR y ERP, engañando tanto a los usuarios finales como a los equipos de TI. Aunque las investigaciones continúan, se han relacionado estos ataques con la explotación de técnicas documentadas en el framework MITRE ATT&CK, como la obtención de credenciales (T1555), evasión de defensa (T1562) y persistencia (T1176).

Estas extensiones actúan de manera coordinada para:

– Robar tokens de autenticación almacenados en cookies y localStorage.
– Deshabilitar o interferir con soluciones de respuesta a incidentes en el navegador, como extensiones de seguridad, plugins anti-phishing o mecanismos de aislamiento de sesiones.
– Capturar credenciales introducidas por el usuario en los formularios de login de las plataformas suplantadas.
– Facilitar la persistencia mediante la modificación de configuraciones del navegador y la autoactualización encubierta.

Durante el análisis, se identificaron varios indicadores de compromiso (IoC), incluyendo dominios de comando y control (C2) a los que se transmitían los datos robados, hashes de las extensiones y patrones de tráfico HTTP anómalos. Asimismo, se detectó el uso de frameworks de post-explotación como Cobalt Strike para el movimiento lateral y la escalada de privilegios tras la obtención de acceso inicial.

Hasta la fecha, se han confirmado versiones afectadas de Google Chrome 108.x a 124.x, aunque no se descarta la adaptación de las extensiones para otros navegadores basados en Chromium. Los exploits conocidos aprovechan la laxitud en los controles de políticas de extensiones y la falta de segmentación de datos sensibles en el navegador.

Impacto y Riesgos

La campaña tiene un impacto potencial significativo, especialmente en organizaciones que dependen de plataformas SaaS para la gestión de RRHH y finanzas. La pérdida de tokens de autenticación permite a los atacantes acceder a información confidencial, suplantar identidades, modificar registros y lanzar ataques adicionales, como spear phishing interno.

Según estimaciones preliminares, más de 15.000 usuarios empresariales podrían haber instalado alguna de las extensiones afectadas, con un riesgo directo para la confidencialidad, integridad y disponibilidad de los sistemas. El robo de credenciales y datos personales puede derivar en incumplimientos de GDPR y NIS2, así como en perjuicios económicos que, según cálculos de ENISA, pueden superar los 4 millones de euros por incidente grave.

Medidas de Mitigación y Recomendaciones

Se recomienda a los equipos de seguridad:

– Auditar y restringir la instalación de extensiones en navegadores corporativos mediante políticas de grupo (GPO).
– Monitorizar los registros de acceso a plataformas HR y ERP en busca de patrones anómalos o inicios de sesión sospechosos.
– Revocar y regenerar tokens de autenticación potencialmente comprometidos.
– Implementar autenticación multifactor (MFA) y segmentación de redes para minimizar el alcance de un acceso no autorizado.
– Actualizar los navegadores a la versión más reciente y eliminar extensiones no verificadas.
– Desplegar soluciones de EDR con capacidad de monitorización de actividad en navegadores.

Opinión de Expertos

Expertos en ciberseguridad destacan la creciente profesionalización de los atacantes y la sofisticación en el desarrollo de extensiones maliciosas. “El navegador se está convirtiendo en el nuevo campo de batalla, especialmente en un mundo SaaS-first. La gestión proactiva y la educación de usuarios son imprescindibles”, señala Esther Martín, CISO de una multinacional tecnológica.

Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar urgentemente sus políticas de gestión de extensiones y reforzar la vigilancia sobre el uso de aplicaciones SaaS críticas. La concienciación de los usuarios, combinada con controles técnicos y auditorías periódicas, será clave para mitigar este tipo de amenazas. Los usuarios finales, por su parte, deben evitar instalar extensiones fuera del repositorio oficial y reportar cualquier actividad inusual.

Conclusiones

El descubrimiento de estas cinco extensiones maliciosas refuerza la necesidad de una defensa en profundidad en el entorno de trabajo digital. La protección del navegador y la gestión estricta de extensiones se erigen como componentes esenciales de la estrategia de ciberseguridad empresarial para prevenir accesos no autorizados y fugas de datos.

(Fuente: feeds.feedburner.com)