AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Extensiones maliciosas en Chrome Web Store comprometen credenciales y bloquean la respuesta ante incidentes en entornos empresariales

admin

Introducción

La seguridad de las extensiones del navegador, frecuentemente subestimada en los entornos corporativos, vuelve a situarse en el centro del debate tras la detección de varias extensiones maliciosas en la Chrome Web Store. Estas extensiones, disfrazadas de herramientas de productividad y seguridad orientadas a plataformas de Recursos Humanos (HR) y Planificación de Recursos Empresariales (ERP), han sido utilizadas para robar credenciales de acceso y obstaculizar la gestión de incidentes de seguridad. El incidente subraya la urgencia de reforzar las políticas de gestión de extensiones y de endurecer los controles de seguridad frente a la sofisticación creciente de las amenazas en la cadena de suministro de software.

Contexto del Incidente

Según las investigaciones, un grupo aún no atribuido logró publicar en la Chrome Web Store varias extensiones bajo nombres que sugerían funcionalidades legítimas para la gestión de recursos humanos, planificación empresarial y seguridad corporativa. Estas extensiones estaban dirigidas explícitamente a organizaciones empresariales, aprovechando la confianza en la tienda oficial de Google y la tendencia de los usuarios a instalar soluciones que prometen mejorar la productividad o la ciberseguridad.

La campaña, identificada a finales del primer semestre de 2024, afectó principalmente a empresas de sectores críticos, como servicios financieros, administración pública y grandes corporaciones del ámbito tecnológico. El vector de ataque inicial fue la ingeniería social, aprovechando comunicaciones internas comprometidas o recomendaciones falsas para inducir la instalación de las extensiones.

Detalles Técnicos

Las extensiones maliciosas fueron diseñadas para evadir la detección mediante técnicas como el uso de nombres y descripciones idénticas o muy similares a las de herramientas legítimas. Tras su instalación, ejecutaban scripts ofuscados que iniciaban la exfiltración de datos y acciones de sabotaje. Algunas de las extensiones identificadas incluían nombres como «HR Management Secure», «ERP Data Connector» o «Security Dashboard Pro».

– Vulnerabilidades y CVEs implicados: Aunque no se asocian a un CVE específico, estas extensiones explotaban la falta de controles de permisos y validación en el ecosistema de Chrome.
– Vectores de ataque: El principal vector era la manipulación del DOM para interceptar credenciales cuando los usuarios accedían a sistemas empresariales como SAP, Oracle, Workday o Microsoft Dynamics 365.
– Tácticas, Técnicas y Procedimientos (TTPs) MITRE ATT&CK:
– T1086 (PowerShell): Uso de scripts para persistencia y ejecución de payloads.
– T1555 (Credential Dumping): Robo de credenciales mediante hooks en formularios de autenticación.
– T1566 (Phishing): Uso de ingeniería social para inducir descargas.
– Indicadores de Compromiso (IoC): URL de callback a dominios externos, hashes de archivos maliciosos y patrones de tráfico anómalo hacia servidores C2 ubicados principalmente en Europa del Este y el Sudeste Asiático.
– Herramientas y frameworks: En algunos casos, se observó la utilización de frameworks como Metasploit para payloads secundarios, y la integración con Cobalt Strike para la comunicación con los servidores de mando y control.

Impacto y Riesgos

La amenaza tiene un impacto potencialmente devastador en entornos corporativos:
– Robo de credenciales de acceso a plataformas críticas, facilitando movimientos laterales y escalada de privilegios.
– Bloqueo deliberado de páginas de administración y gestión de incidentes, impidiendo una respuesta rápida y eficaz ante ataques (DoS selectivo).
– Riesgo de exfiltración masiva de datos personales y sensibles, con posibles consecuencias bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2.
– Compromiso de la cadena de suministro de software, dificultando la trazabilidad y la respuesta a incidentes.
Se estima que más de 20.000 instalaciones empresariales podrían haberse visto afectadas en Europa y Norteamérica, con pérdidas económicas potenciales superiores a los 15 millones de euros, considerando solo los costes de respuesta y remediación.

Medidas de Mitigación y Recomendaciones

– Implementar soluciones de administración de extensiones (por ejemplo, políticas de Google Workspace o Microsoft Intune) para restringir la instalación solo a extensiones auditadas.
– Monitorizar los logs de acceso y las actividades inusuales en plataformas HR y ERP, prestando especial atención a las anomalías en los patrones de autenticación.
– Realizar análisis periódicos de las extensiones instaladas en los navegadores corporativos y eliminar aquellas no autorizadas.
– Educar al personal sobre los riesgos de instalar extensiones no verificadas, reforzando la cultura de seguridad.
– Desplegar soluciones EDR/NDR que sean capaces de detectar tráfico sospechoso hacia dominios C2 identificados en los IoC.

Opinión de Expertos

Expertos en seguridad, como Javier Fernández, CISO de una multinacional tecnológica, advierten: “El ecosistema de extensiones de navegador es la nueva frontera para el compromiso de la cadena de suministro. Las organizaciones deben tratar las extensiones con el mismo rigor que cualquier otra pieza de software corporativo”. Por su parte, investigadores del CERT español subrayan la importancia de auditar de forma proactiva las extensiones y de mantener una comunicación fluida con Google ante la detección de campañas maliciosas.

Implicaciones para Empresas y Usuarios

Para las empresas, este incidente pone de relieve la necesidad de revisar y reforzar las políticas de seguridad relacionadas con el uso de extensiones y la protección de credenciales. Los usuarios, por su parte, deben ser conscientes del riesgo y abstenerse de instalar soluciones no validadas, incluso si proceden de la tienda oficial. El cumplimiento normativo, tanto bajo GDPR como bajo NIS2, obliga a las organizaciones a adoptar medidas técnicas y organizativas para mitigar estos riesgos.

Conclusiones

La detección de extensiones maliciosas en la Chrome Web Store dirigidas a entornos corporativos evidencia la sofisticación y el alcance de las amenazas actuales. Las organizaciones deben adoptar un enfoque proactivo que combine la gestión centralizada de extensiones, la monitorización continua y la formación de usuarios. Solo así podrán minimizar el riesgo de compromisos de credenciales y sabotaje en plataformas críticas.

(Fuente: www.bleepingcomputer.com)