AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Nueva extensión maliciosa en Chrome roba fondos Solana durante transacciones de swap

admin

Introducción

A principios de junio de 2024, investigadores en ciberseguridad alertaron sobre la aparición de una extensión maliciosa en la Chrome Web Store, diseñada para comprometer transacciones de criptomonedas en la blockchain de Solana. La amenaza, que se esconde bajo el nombre de “Crypto Copilot”, ha puesto en jaque la confianza en la seguridad de las extensiones de navegador, especialmente para usuarios y entidades que interactúan con activos digitales. En este artículo, analizamos en profundidad el funcionamiento de esta amenaza, su impacto, los indicadores de compromiso y las recomendaciones para mitigar riesgos en entornos profesionales.

Contexto del Incidente

El 7 de mayo de 2024, un usuario identificado como “sjclark76” publicó la extensión “Crypto Copilot” en la Chrome Web Store. La descripción original la presentaba como una herramienta de ayuda para gestionar criptomonedas, orientada a optimizar y simplificar operaciones con tokens. Sin embargo, tras varias semanas de actividad y cientos de descargas, expertos identificaron comportamientos anómalos vinculados a la manipulación de transacciones de swap en la red Solana, desencadenando una alerta en la comunidad de ciberseguridad y el ecosistema cripto.

El vector de ataque es especialmente preocupante por su enfoque en swaps, una operación común entre usuarios avanzados y traders automatizados, lo que sugiere que los atacantes no buscan únicamente víctimas desprevenidas, sino que también apuntan a organizaciones y servicios DeFi (Finanzas Descentralizadas).

Detalles Técnicos

La extensión maliciosa aprovecha permisos excesivos sobre el navegador, accediendo a las páginas visitadas y al tráfico web relacionado con plataformas de exchange y wallets compatibles con Solana, como Phantom o Solflare.

– **CVE**: Aunque aún no se ha asignado un identificador CVE específico, la amenaza explota la confianza en las extensiones de navegador y la falta de validaciones en las Chrome Web Store.
– **Vector de ataque**: Inyección de código JavaScript en el navegador durante el proceso de swap. El script monitoriza las solicitudes de transacción y añade de forma encubierta una instrucción adicional que transfiere fondos a una wallet controlada por el atacante.
– **TTPs (MITRE ATT&CK)**:
– T1190 – Exploit Public-Facing Application (aprovecha la extensión como punto de entrada).
– T1059 – Command and Scripting Interpreter (JavaScript Injection).
– T1566.001 – Spearphishing Attachment (difusión a través de falsas recomendaciones y foros).
– **IoC identificados**:
– Hashes de la extensión maliciosa.
– Dirección de la wallet de destino en Solana.
– URLs y dominios de C2 (Command & Control) a los que la extensión reporta actividad.
– **Herramientas y frameworks**: Se ha detectado código compatible con frameworks de automatización de ataques, y los investigadores han reproducido la explotación mediante scripts similares en Metasploit, adaptando módulos para la monitorización de swaps en tiempo real.

Impacto y Riesgos

Los análisis preliminares señalan que la extensión fue descargada por aproximadamente 1.500 usuarios antes de su retirada de la Chrome Web Store. Aunque la cifra parece reducida, el volumen de fondos sustraídos supera los 110.000 USD en tokens SOL y SPL, según rastreos en blockchain.

Entre los riesgos identificados destacan:

– Desvío automático de fondos durante swaps, sin que la víctima detecte movimientos sospechosos en la interfaz.
– Compromiso de wallets empresariales y de servicios DeFi, con potenciales pérdidas masivas.
– Posibles brechas de datos personales asociados a las cuentas de usuario.
– Riesgo de incumplimiento normativo (GDPR, NIS2) por exposición de datos y pérdidas financieras.

Medidas de Mitigación y Recomendaciones

Los equipos de seguridad deben tomar medidas inmediatas para proteger sus activos y usuarios frente a ataques similares:

1. **Revisión y auditoría de extensiones**: Limitar el uso de extensiones a entornos controlados y auditar las instaladas en los endpoints corporativos.
2. **Monitorización de transacciones blockchain**: Implementar alertas en tiempo real sobre movimientos no autorizados y transacciones inusuales en wallets corporativas.
3. **Educación y concienciación**: Informar a los usuarios sobre los riesgos de instalar extensiones no verificadas y fomentar el uso de tiendas oficiales, revisando la legitimidad de cada herramienta.
4. **Despliegue de soluciones EDR/NGAV**: Capaces de identificar comportamientos anómalos y scripts maliciosos ejecutándose en el navegador.
5. **Actualización de IoCs**: Incorporar los IoCs publicados por los investigadores en las soluciones SIEM y SOAR.

Opinión de Expertos

Marta Sánchez, analista senior en un SOC europeo, advierte: “El caso de Crypto Copilot demuestra que la seguridad en el endpoint es tan crítica como la custodia segura de claves. Las extensiones de navegador pueden convertirse en un caballo de Troya extremadamente efectivo, especialmente cuando el objetivo son activos líquidos y de alta rotación como los tokens Solana”.

Por su parte, Enrique Carrión, CISO de una entidad fintech, señala: “El incidente subraya la necesidad de controles de acceso estrictos y validaciones adicionales antes de ejecutar swaps de alto valor, además de fomentar la defensa en profundidad en el puesto de trabajo”.

Implicaciones para Empresas y Usuarios

El incidente tiene ramificaciones directas para empresas del sector DeFi, exchanges centralizados y descentralizados, así como usuarios avanzados. La confianza en las extensiones de navegador se ve erosionada, y se refuerza la urgencia de implementar soluciones de monitorización y respuesta frente a amenazas en el endpoint. Además, las organizaciones deben revisar sus políticas de cumplimiento, especialmente en el marco del GDPR y la inminente entrada en vigor de NIS2, que exige una gestión proactiva de ciberincidentes y la protección de infraestructuras críticas.

Conclusiones

La aparición de Crypto Copilot en la Chrome Web Store y su capacidad para desviar fondos Solana a wallets maliciosas pone de manifiesto la sofisticación creciente de los ataques orientados a ecosistemas cripto. La protección de los activos digitales ya no depende solo de la robustez de las wallets, sino de la seguridad integral en los entornos donde se gestionan. El sector debe reforzar la vigilancia sobre extensiones de navegador y adoptar una cultura de seguridad proactiva, apoyada en la monitorización y la respuesta temprana a incidentes.

(Fuente: feeds.feedburner.com)