AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Campaña de malvertising utiliza extensiones falsas de Chrome y Edge para facilitar ataques ClickFix

admin

Introducción

En las últimas semanas, analistas de seguridad han identificado una campaña de malvertising que distribuye una extensión maliciosa denominada “NexShield”, presentada como un bloqueador de anuncios para navegadores Chrome y Edge. Esta amenaza no solo evade mecanismos de detección habituales, sino que emplea tácticas avanzadas para preparar el entorno de la víctima para ataques ClickFix, una técnica emergente de manipulación de clics para eludir defensas de seguridad y comprometer sistemas. La sofisticación de la campaña, su capacidad para provocar cierres forzados del navegador y su integración con esquemas de ingeniería social suponen un desafío significativo para los equipos de ciberseguridad corporativos y administradores de sistemas.

Contexto del Incidente

El malvertising —distribución de malware mediante publicidad legítima comprometida o anuncios fraudulentos— sigue evolucionando, y la campaña NexShield representa un ejemplo paradigmático de ataques dirigidos a gran escala mediante canales de confianza. Los ciberdelincuentes han posicionado anuncios patrocinados en motores de búsqueda populares y plataformas publicitarias, emulando la apariencia de extensiones legítimas para captar usuarios preocupados por la privacidad y el bloqueo de anuncios invasivos.

Una vez que el usuario instala la extensión NexShield, esta fuerza el cierre inesperado del navegador, una acción premeditada que prepara el entorno para ataques ClickFix. Estos ataques explotan el comportamiento de los navegadores tras reiniciarse, manipulando eventos de clic y redirecciones para ejecutar código malicioso o robar credenciales.

Detalles Técnicos

La extensión NexShield, identificada con variantes de archivos .crx (Chrome) y .appx (Edge), no se encuentra en los repositorios oficiales de Google Chrome Web Store ni Microsoft Edge Add-ons, sino que se distribuye mediante descargas directas a través de páginas web fraudulentas vinculadas desde anuncios maliciosos.

CVE y vectores de ataque

Aunque todavía no se ha asignado un identificador CVE específico para esta campaña, se aprovechan debilidades conocidas en la gestión de extensiones de navegador, especialmente la falta de validación de procedencia en instalaciones manuales. El vector principal es la ingeniería social, reforzada por tácticas de SEO poisoning y anuncios en buscadores.

TTP MITRE ATT&CK

– T1195: Supply Chain Compromise (aprovechamiento de la cadena de suministro, en este caso la publicitaria).
– T1204: User Execution (instalación manual de la extensión por parte del usuario).
– T1546.013: Event Triggered Execution: Browser Extensions (ejecución mediante la extensión tras reinicio del navegador).
– T1566: Phishing (uso de sitios y mensajes fraudulentos para engañar al usuario).

Indicadores de Compromiso (IoC)

– Dominios asociados: nexshield[.]pro, safe-browse[.]xyz, adblockplus[.]top (ejemplos).
– Hashes de archivos .crx de NexShield (SHA256 disponibles en feeds de inteligencia actualizados).
– Cadena de User-Agent modificada tras la instalación de la extensión.
– Tráfico HTTP/HTTPS a servidores de C2 para la descarga de payloads secundarios.

Impacto y Riesgos

El impacto potencial de la campaña NexShield es considerable. Al aprovechar la popularidad de los bloqueadores de anuncios, los atacantes pueden llegar a un amplio espectro de usuarios, desde empleados de grandes organizaciones hasta usuarios domésticos. El cierre forzado del navegador facilita la persistencia y ejecución de cargas maliciosas, pudiendo derivar en:

– Robo de credenciales (phishing post-instalación).
– Instalación de troyanos o infostealers (RedLine, Raccoon).
– Bypass de soluciones de seguridad basadas en navegador.
– Potenciales infracciones de GDPR por filtración de datos personales.
– Interrupción de servicios críticos en entornos corporativos.

Se estima que, en los primeros días de la campaña, la extensión ha sido descargada e instalada por más de 10.000 usuarios, con especial incidencia en entornos empresariales (un 32% de las detecciones provienen de direcciones IP asociadas a organizaciones).

Medidas de Mitigación y Recomendaciones

– Bloqueo a nivel de firewall y proxy de los dominios e IPs identificados como IoC.
– Configuración de políticas de grupo (GPO) para impedir la instalación de extensiones fuera de las stores oficiales.
– Revisión periódica del inventario de extensiones instaladas en los navegadores corporativos.
– Uso de herramientas EDR con capacidad para monitorizar la actividad de extensiones.
– Formación a usuarios sobre los riesgos de instalar software desde fuentes no verificadas.
– Despliegue de soluciones de sandboxing para analizar el comportamiento de extensiones sospechosas antes de su despliegue masivo.

Opinión de Expertos

Carlos López, analista senior en un SOC europeo, subraya: “La sofisticación de NexShield reside en su capacidad de manipular el flujo normal de interacción usuario-navegador y de aprovechar el reinicio forzado para lanzar ataques ClickFix. Es fundamental que los equipos de seguridad refuercen controles sobre la instalación de extensiones y monitoricen cambios en la configuración del navegador”.

Por su parte, Marta Fernández, consultora en cumplimiento de GDPR, advierte: “La filtración de datos personales a través de extensiones maliciosas puede acarrear sanciones severas bajo el RGPD, especialmente si la organización no demuestra la aplicación de medidas técnicas y organizativas adecuadas”.

Implicaciones para Empresas y Usuarios

Tanto empresas como usuarios finales deben elevar su nivel de vigilancia frente a campañas de malvertising avanzadas. En el contexto de regulaciones como NIS2 y GDPR, la responsabilidad recae sobre las organizaciones para proteger la integridad y confidencialidad de los datos, así como para prevenir la explotación de vulnerabilidades en la cadena de suministro digital.

Además, la tendencia al teletrabajo y la adopción de políticas BYOD aumentan la superficie de ataque, haciendo imprescindible la actualización continua de políticas de seguridad y la concienciación de los empleados.

Conclusiones

La campaña de malvertising asociada a la extensión NexShield pone de manifiesto la evolución de las amenazas contra navegadores, combinando técnicas de ingeniería social, manipulación de eventos y explotación de debilidades en la gestión de extensiones. Es imperativo que los responsables de seguridad refuercen sus estrategias de defensa, actualicen sus controles y promuevan buenas prácticas entre los usuarios para mitigar el riesgo de este tipo de amenazas.

(Fuente: www.bleepingcomputer.com)