AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Extensiones maliciosas en Chrome Web Store: “Phantom Shuttle” secuestra tráfico y roba datos

admin

#### 1. Introducción

El ecosistema de extensiones de navegadores se ha consolidado como un vector recurrente de ataques dirigidos tanto a usuarios particulares como a organizaciones. Recientemente, dos extensiones denominadas “Phantom Shuttle”, alojadas en la Chrome Web Store, han sido identificadas como herramientas de secuestro de tráfico y exfiltración de datos sensibles. Este incidente subraya la necesidad crítica de una gestión proactiva de la seguridad en los entornos de navegación corporativos y personales, así como la continua vigilancia sobre las aplicaciones de terceros.

#### 2. Contexto del Incidente

Las extensiones maliciosas en cuestión se presentaban como soluciones legítimas para el uso de proxies, prometiendo funcionalidades destinadas a mejorar la privacidad y el anonimato en la navegación. Sin embargo, tras su análisis, expertos en ciberseguridad detectaron que ambas versiones de “Phantom Shuttle” ocultaban funcionalidades intrusivas orientadas al secuestro de sesiones, manipulación del tráfico HTTP/HTTPS y robo de credenciales.

Este incidente no es aislado; en los últimos años, Google ha reforzado los controles de la Chrome Web Store, pero la sofisticación de los atacantes y la capacidad para evadir las revisiones automatizadas siguen permitiendo la aparición de extensiones maliciosas. Según el informe State of Browser Security 2024, el 16% de las amenazas en endpoints corporativos tienen origen en extensiones de navegador.

#### 3. Detalles Técnicos

Las extensiones “Phantom Shuttle” afectaban a las versiones de Chrome a partir de la 112.0.5615.49 y posteriores, compatibles también con Chromium y navegadores basados en este motor.

**Vectores de ataque y TTPs:**
– **Técnicas de MITRE ATT&CK:**
– T1086 (PowerShell): ejecución de código malicioso mediante scripts embebidos.
– T1176 (Browser Extensions): abuso de extensiones para obtener acceso a datos de usuario y tráfico.
– T1557 (Man-in-the-Middle): interceptación y manipulación del tráfico.
– **Permisos abusivos:** Las extensiones requerían acceso a `webRequest`, `tabs`, y `storage`, permitiendo la inspección y modificación de solicitudes HTTP/HTTPS en tiempo real.
– **Exfiltración de datos:** Implementaban un canal C2 (Command and Control) mediante WebSockets, enviando información cifrada a servidores remotos ubicados fuera de la UE.
– **Indicadores de Compromiso (IoC):**
– Hashes SHA256 de los paquetes `.crx` maliciosos.
– Dominios y endpoints asociados al C2: `phantom-proxy[.]com`, `shuttle-sync[.]net`.
– Patrón de tráfico anómalo: conexiones persistentes a puertos 443 y 8080 en dominios sospechosos.

No se han reportado exploits conocidos públicos para la explotación directa de vulnerabilidades del navegador, pero se han observado intentos de carga de payloads adicionales, potencialmente integrables en frameworks como Metasploit o Cobalt Strike para la escalada de privilegios.

#### 4. Impacto y Riesgos

El impacto potencial de estas extensiones es significativo:
– **Robo de credenciales:** Captura de sesiones autenticadas y credenciales almacenadas en formularios.
– **Secuestro de tráfico corporativo:** Intercepción de comunicaciones internas, con riesgo de fuga de información confidencial (proyectos, datos personales, información financiera).
– **Persistencia y movimiento lateral:** Uso de tokens de acceso y cookies para acceder a otros servicios corporativos y personales.

Se estima que las extensiones fueron descargadas más de 10.000 veces antes de su retirada, afectando a usuarios en la UE y América, con un 35% de instalaciones en entornos empresariales según telemetría de varios endpoints.

#### 5. Medidas de Mitigación y Recomendaciones

– **Inventario y auditoría de extensiones:** Desplegar soluciones EDR que permitan inventariar y auditar extensiones instaladas en los navegadores corporativos.
– **Restricción de permisos:** Configurar políticas de grupo (GPO) o plantillas de configuración (JSON) para restringir la instalación de extensiones no autorizadas.
– **Monitorización de tráfico:** Implementar sistemas de IDS/IPS y proxies avanzados para detectar patrones de tráfico anómalo y conexiones a dominios sospechosos.
– **Educación y concienciación:** Formación periódica para usuarios y administradores sobre riesgos asociados a extensiones de navegador.
– **Actualización continua:** Mantener navegadores y sistemas operativos actualizados para reducir la superficie de ataque.

#### 6. Opinión de Expertos

Juan Carlos Muñoz, analista senior en un SOC de referencia en España, subraya: “El abuso de extensiones de navegador es una tendencia al alza; la facilidad con la que se pueden desplegar cargas útiles y evadir controles tradicionales supone un reto para los equipos de ciberseguridad. Las empresas deben tratar los navegadores como un vector de riesgo crítico, al igual que cualquier endpoint”.

#### 7. Implicaciones para Empresas y Usuarios

La proliferación de extensiones maliciosas plantea riesgos directos para la privacidad y la integridad de la información. En el ámbito empresarial, pueden derivar en incidentes de brechas de datos sancionables bajo GDPR y NIS2, con consecuencias económicas y reputacionales graves. Para los usuarios individuales, el robo de credenciales expone cuentas bancarias, redes sociales y servicios de trabajo remoto.

Las organizaciones deben revisar sus políticas de seguridad, reforzar la monitorización en tiempo real y considerar herramientas de gestión centralizada de extensiones. La tendencia del mercado apunta a un crecimiento de soluciones SASE y Zero Trust para el control de navegación y acceso a recursos.

#### 8. Conclusiones

El caso de “Phantom Shuttle” evidencia que la amenaza de las extensiones maliciosas sigue vigente y evoluciona en sofisticación. La detección temprana, la restricción de permisos y la concienciación de los usuarios son pilares indispensables para mitigar riesgos en entornos corporativos y personales. La colaboración entre fabricantes, analistas y legisladores será clave para fortalecer la seguridad en el ecosistema de extensiones de navegador.

(Fuente: www.bleepingcomputer.com)