AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### El auge de las extensiones maliciosas: nuevos kits MaaS permiten superponer páginas fraudulentas sin alterar la URL

admin

#### 1. Introducción

El panorama de amenazas en ciberseguridad sigue evolucionando a gran velocidad, con técnicas cada vez más sofisticadas para eludir los controles tradicionales. Un reciente descubrimiento ha puesto de manifiesto un nuevo vector de ataque: el uso de kits de malware-as-a-service (MaaS) diseñados para crear extensiones de navegador maliciosas capaces de superponer contenido fraudulento sobre sitios web legítimos, sin modificar la URL visible para el usuario. Este avance representa un reto significativo tanto para los equipos de seguridad corporativos como para los desarrolladores de navegadores, al dificultar la detección de actividades maliciosas por parte de soluciones de seguridad convencionales y de los propios usuarios.

#### 2. Contexto del Incidente o Vulnerabilidad

El uso de extensiones de navegador como vector de ataque no es una novedad, pero la sofisticación de los kits MaaS actuales marca un antes y un después. Hasta ahora, las extensiones maliciosas solían delatarse por cambios visibles en la URL o comportamientos anómalos relativamente fáciles de identificar. Sin embargo, los nuevos kits permiten a los atacantes superponer páginas fraudulentas sobre sitios web reales, manteniendo la URL original intacta en la barra de direcciones del navegador, dificultando notablemente la detección de la suplantación.

Estos kits, disponibles en foros clandestinos y marketplaces de la dark web, están siendo comercializados como servicios de fácil despliegue, lo que democratiza el acceso a técnicas avanzadas de phishing y robo de credenciales, incluso para actores con escasos conocimientos técnicos.

#### 3. Detalles Técnicos

Este nuevo vector de ataque se apoya en extensiones maliciosas desarrolladas para navegadores como Chrome, Edge y, en menor medida, Firefox, aprovechando los permisos excesivos que muchas extensiones pueden solicitar durante su instalación. Los kits identificados, como “SharpExt” y variantes anónimas referenciadas en foros underground, permiten crear extensiones personalizadas que inyectan código JavaScript en el contexto de páginas legítimas.

**CVE y vectores de ataque:**
Si bien en el momento de redactar este artículo no se ha asignado un CVE específico a la técnica, los vectores de ataque se basan en la manipulación del DOM y la utilización del permiso `activeTab` para interceptar y modificar el contenido de páginas web visitadas por el usuario. El TTP asociado según MITRE ATT&CK es T1176 – Browser Extensions y T1114 – Email Collection (cuando el objetivo es el robo de credenciales y correos electrónicos).

**IoC y evidencia forense:**
Entre los indicadores de compromiso más relevantes se encuentran:

– Instalación de extensiones no firmadas o provenientes de fuentes no oficiales.
– Solicitud de permisos elevados como “leer y modificar todos los datos en los sitios web visitados”.
– Comunicaciones C2 ofuscadas mediante WebSockets o canales encriptados.
– Superposición de formularios de autenticación o ventanas emergentes sobre sitios populares (banca online, correo corporativo, etc.) sin cambio de URL.

Varios exploits públicos, incluidos módulos en Metasploit y scripts de PoC en GitHub, han sido adaptados para aprovechar la funcionalidad de estos kits, facilitando la integración con frameworks de post-explotación como Cobalt Strike y Mythic.

#### 4. Impacto y Riesgos

El riesgo principal radica en la capacidad de estas extensiones de realizar ataques de phishing extremadamente convincentes, al mantener la confianza del usuario en la autenticidad del sitio visitado gracias a la URL inalterada. Se han identificado campañas dirigidas a entornos empresariales, donde el robo de credenciales de acceso a plataformas como Microsoft 365, Salesforce o aplicaciones de banca corporativa puede tener consecuencias económicas devastadoras.

Según datos recopilados por varios CSIRTs europeos, se estima que un 12% de las organizaciones que permiten el uso de extensiones sin políticas restrictivas han sido susceptibles a ataques de este tipo en los últimos seis meses. El coste medio asociado a incidentes de robo de credenciales mediante extensiones maliciosas supera los 500.000 euros en empresas medianas, considerando tanto el impacto directo como el tiempo de recuperación.

#### 5. Medidas de Mitigación y Recomendaciones

Los expertos recomiendan adoptar un enfoque defensivo multicapa:

– **Políticas restrictivas:** Configurar listas blancas de extensiones permitidas mediante GPOs o soluciones MDM.
– **Deshabilitación de instalación de extensiones no firmadas:** Limitar la capacidad de los usuarios para instalar extensiones fuera de los marketplaces oficiales.
– **Monitorización avanzada:** Implementar soluciones EDR y/o CASB capaces de identificar comportamientos anómalos en navegadores y extensiones.
– **Concienciación y formación:** Educar a los usuarios sobre los riesgos asociados a extensiones y la importancia de reportar comportamientos inusuales.
– **Auditorías periódicas:** Revisar las extensiones instaladas en los endpoints corporativos y eliminar aquellas innecesarias o con permisos excesivos.

#### 6. Opinión de Expertos

Varios analistas de amenazas, como Enrique Serrano (Secure&IT), señalan que “el reto reside en la dificultad para distinguir entre extensiones legítimas y maliciosas, especialmente cuando estas últimas emulan funcionalidades de herramientas populares”. Por su parte, desde INCIBE advierten que la tendencia a la externalización de aplicaciones en la nube incrementa la superficie de ataque, y subrayan la importancia de la aplicación de la NIS2 y el cumplimiento del GDPR en la gestión de credenciales y datos personales comprometidos.

#### 7. Implicaciones para Empresas y Usuarios

Para las compañías, la irrupción de estos kits MaaS implica la necesidad de revisar en profundidad sus políticas de seguridad en el puesto de trabajo y el acceso a aplicaciones críticas. La capacidad de engañar incluso a usuarios experimentados obliga a reforzar los controles técnicos y a considerar la gestión de extensiones como un vector de riesgo prioritario. Los usuarios, por su parte, deben permanecer vigilantes y ser reticentes a instalar extensiones que soliciten permisos innecesarios o provengan de fuentes dudosas.

#### 8. Conclusiones

La aparición de kits MaaS que permiten a las extensiones maliciosas superponer contenido fraudulento sin alterar la URL marca un punto de inflexión en la lucha contra el phishing y el robo de credenciales. La sofisticación de estas técnicas exige a los profesionales de la ciberseguridad una actualización constante de estrategias defensivas, la revisión de políticas de instalación de software y una concienciación continua de los usuarios. La colaboración entre fabricantes de navegadores, equipos de seguridad corporativos y organismos reguladores será clave para mitigar este tipo de amenazas emergentes.

(Fuente: www.darkreading.com)