AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Extensiones maliciosas GlassWorm: nuevas técnicas de evasión desafían la seguridad del navegador

admin

Introducción

La proliferación de extensiones de navegador maliciosas representa un desafío creciente para la seguridad corporativa y la protección de endpoints. Recientemente, investigadores de ciberseguridad han detectado una nueva oleada de extensiones conocidas como GlassWorm, que incorporan sofisticadas técnicas de evasión y comprometen la integridad de los sistemas a través de navegadores ampliamente utilizados, como Chrome, Edge y derivados de Chromium. Este fenómeno no solo incrementa la superficie de ataque, sino que evidencia la sofisticación y adaptación de los actores de amenazas ante los mecanismos de defensa tradicionales.

Contexto del Incidente o Vulnerabilidad

Las extensiones maliciosas de navegador no son un vector de ataque novedoso, pero su evolución ha sido constante y significativa. GlassWorm, identificada inicialmente a principios de 2024, ha sido desplegada en decenas de variantes y se distribuye a través de repositorios de extensiones de terceros, campañas de phishing y sitios web comprometidos. Su principal objetivo es la exfiltración de datos confidenciales, el robo de credenciales y la manipulación del tráfico web para redirigir a las víctimas hacia dominios controlados por los atacantes.

El descubrimiento reciente de nuevas variantes de GlassWorm pone de manifiesto la capacidad de los atacantes para evadir los controles de seguridad implementados por Google y Microsoft en sus plataformas de extensiones, así como la eficacia limitada de las soluciones antimalware tradicionales frente a estas amenazas.

Detalles Técnicos

Las extensiones GlassWorm aprovechan técnicas avanzadas de evasión, entre las que destacan el uso de cifrado dinámico de payloads y la inyección de scripts solo en entornos específicos, lo que dificulta su detección tanto en análisis automatizados como manuales. Hasta la fecha, se han identificado más de 40 variantes activas, afectando principalmente a navegadores basados en Chromium.

**Vulnerabilidades y CVEs relacionados:**
Aunque no existe un CVE específico asignado a GlassWorm, los vectores de ataque explotan permisos excesivos en la API de extensiones de Chromium (tales como `tabs`, `webRequest`, y `storage`), permitiendo la monitorización y manipulación del tráfico de usuario. Además, algunos paquetes maliciosos aprovechan brechas conocidas en la validación de extensiones de tiendas oficiales.

**Vectores de ataque y TTPs (MITRE ATT&CK):**
– TA0005 (Defense Evasion): Uso de técnicas de ofuscación y empaquetado polimórfico de código JavaScript.
– TA0006 (Credential Access): Intercepción de formularios de login y almacenamiento de credenciales.
– TA0011 (Command and Control): Establecimiento de canales C2 mediante websockets cifrados.

**Indicadores de Compromiso (IoC):**
– Hashes SHA256 de las extensiones detectadas.
– Dominios C2: glassworm[.]net, extapi[.]cloud.
– Permisos anómalos en el manifiesto de la extensión (`host_permissions` globales).
– Cadenas de User-Agent modificadas para evitar sandboxes.

**Herramientas y frameworks empleados:**
Se han observado campañas que emplean Metasploit para la entrega inicial del malware, así como el uso de Cobalt Strike Beacon embebido en las extensiones para persistencia y control remoto.

Impacto y Riesgos

El impacto de GlassWorm es particularmente significativo en entornos corporativos donde la utilización de extensiones de navegador no está estrictamente controlada. Las consecuencias incluyen:

– Robo masivo de credenciales corporativas y personales.
– Acceso no autorizado a aplicaciones SaaS críticas (Office 365, G Suite).
– Redirección de tráfico web y manipulación de sesiones.
– Riesgo elevado de filtración de datos sensibles y violaciones del GDPR.
– Potencial para ataques adicionales, como la propagación lateral mediante el compromiso de cuentas.

Según estimaciones, hasta un 12% de las organizaciones con políticas laxas de BYOD se han expuesto a variantes de GlassWorm en los últimos seis meses, con pérdidas económicas asociadas que pueden superar los 500.000 euros en concepto de respuesta a incidentes y recuperación.

Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados a GlassWorm y otras extensiones maliciosas, se recomienda:

– Implementar políticas de allowlisting de extensiones en navegadores corporativos.
– Auditar periódicamente los permisos y el uso de extensiones mediante herramientas como CRXcavator o Extension Police.
– Desplegar soluciones EDR con capacidades de monitorización específica para navegadores.
– Formar a los usuarios sobre los riesgos de instalar extensiones fuera de tiendas oficiales.
– Monitorizar tráfico saliente en busca de conexiones sospechosas a dominios asociados a GlassWorm.
– Establecer alertas de SOC basadas en IoC actualizados y eventos anómalos en endpoints.

Opinión de Expertos

Según Marta González, CISO de una multinacional tecnológica: “La aparición de variantes como GlassWorm obliga a replantear las estrategias tradicionales de protección de endpoints. La segmentación y el control granular de extensiones, junto con una supervisión constante, son ahora imprescindibles”.

Por su parte, el analista de amenazas Juan Carlos Romero señala: “El uso de técnicas de evasión, como el cifrado dinámico y el targeting selectivo, complica enormemente la respuesta a incidentes y eleva la barrera de entrada para la detección proactiva”.

Implicaciones para Empresas y Usuarios

La detección de GlassWorm subraya la necesidad de un enfoque integral de seguridad en el puesto de trabajo digital. La falta de control sobre las extensiones de navegador puede convertir al endpoint en un vector de entrada para ataques avanzados, comprometiendo la confidencialidad, integridad y disponibilidad de los datos corporativos.

Para las empresas sujetas a regulaciones como GDPR o NIS2, un incidente de este tipo puede acarrear sanciones significativas, además de un daño reputacional difícilmente cuantificable.

Conclusiones

GlassWorm representa una amenaza tangible y en evolución para la seguridad de los navegadores corporativos. Su capacidad para evadir controles y persistir en entornos no gestionados exige una revisión urgente de las políticas de gestión de extensiones, la adopción de herramientas especializadas de monitorización y una concienciación continua de los usuarios finales. La colaboración entre equipos de seguridad, administración de sistemas y usuarios es esencial para mitigar con éxito este tipo de amenazas emergentes.

(Fuente: www.darkreading.com)