Extensiones de Chrome comprometidas tras cambio de propietario: riesgo de malware y robo de datos

Introducción

En las últimas semanas, se ha detectado una tendencia preocupante que afecta al ecosistema de extensiones de Google Chrome: la conversión de extensiones legítimas en herramientas maliciosas tras un cambio de propiedad. Dos extensiones populares, originalmente desarrolladas por “akshayanuonline@gmail.com” bajo el nombre BuildMelon, han sido objeto de este fenómeno, permitiendo a los atacantes distribuir malware, ejecutar código arbitrario e interceptar información sensible de los usuarios. Este incidente pone de manifiesto los riesgos inherentes a la gestión y supervisión de extensiones en navegadores ampliamente utilizados en entornos corporativos y domésticos.

Contexto del Incidente

La problemática comenzó cuando dos extensiones, QuickLens – Search Screen y otra aún no identificada públicamente, cambiaron de manos. Tras la transferencia de propiedad, las nuevas versiones publicadas en la Chrome Web Store introdujeron funcionalidades no autorizadas y comportamientos maliciosos. Si bien los cambios de titularidad no son infrecuentes en el desarrollo de software, la falta de controles exhaustivos por parte de Google permitió que los nuevos propietarios inyectaran código perjudicial sin despertar sospechas inmediatas entre los usuarios y administradores de sistemas.

Este modus operandi no es nuevo: la compra de extensiones con bases de usuarios establecidas se ha convertido en una táctica recurrente para la distribución de malware, dado que la confianza previa facilita eludir defensas y aumentar el alcance del ataque.

Detalles Técnicos

Investigaciones realizadas por analistas de amenazas revelan que las extensiones modificadas abusan de los permisos otorgados previamente por los usuarios para desplegar cargas útiles maliciosas. Entre las técnicas empleadas se encuentra la inyección de JavaScript ofuscado capaz de ejecutar comandos arbitrarios, modificar el contenido mostrado en las páginas web visitadas y realizar capturas de información sensible como credenciales y tokens de autenticación.

Los vectores de ataque identificados incluyen:
– Actualizaciones automáticas de la extensión que introducen código malicioso.
– Uso de dominios de comando y control (C2) para descargar y ejecutar payloads adicionales.
– Técnicas de persistencia y evasión, como la verificación del entorno para evitar entornos sandbox o máquinas virtuales.

Según la matriz MITRE ATT&CK, las TTPs asociadas corresponden a:
– T1190 (Exploit Public-Facing Application)
– T1086 (PowerShell, adaptado a JavaScript en este contexto)
– T1556.001 (Input Capture: Credentials from Password Stores)

Los indicadores de compromiso (IoC) identificados incluyen URLs de C2, hashes de archivos maliciosos y patrones de tráfico inusual originados por la extensión. Se han detectado versiones maliciosas en la Chrome Web Store entre el 15 y el 26 de mayo de 2024, afectando a miles de usuarios según las métricas de descargas públicas.

Impacto y Riesgos

El impacto potencial es elevado, especialmente en entornos empresariales donde las extensiones pueden acceder a intranets, aplicaciones SaaS críticas y datos confidenciales. Entre los riesgos concretos destacan:
– Compromiso de credenciales corporativas y personales.
– Filtración de información sensible (tokens OAuth, cookies de sesión).
– Capacidad para distribuir malware adicional en los sistemas afectados.
– Riesgo de movimientos laterales si la extensión es utilizada en sistemas privilegiados.

Se estima que al menos un 40% de los usuarios afectados utilizaron las extensiones en contextos corporativos, exponiendo datos sujetos a la regulación GDPR y NIS2. A nivel económico, los incidentes de este tipo pueden derivar en pérdidas millonarias por exfiltración de datos y compromisos regulatorios.

Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados, se recomienda:
– Desinstalar inmediatamente las extensiones QuickLens – Search Screen y cualquier otra bajo el desarrollador BuildMelon.
– Revisar y restringir el uso de extensiones en entornos corporativos mediante políticas de lista blanca.
– Monitorizar logs de acceso y actividad en navegadores para detectar comportamientos anómalos.
– Implementar soluciones EDR y DLP que inspeccionen actividades en el navegador.
– Realizar auditorías periódicas de las extensiones instaladas.
– Actualizar y concienciar a los usuarios sobre los riesgos de instalar extensiones de fuentes no verificadas.

Opinión de Expertos

Especialistas en ciberseguridad como Pablo San Emeterio (CISO y analista) destacan que “la falta de controles en la transferencia de propiedad de extensiones es un vector subestimado, especialmente en ecosistemas donde la confianza del usuario se da por sentada”. Por su parte, varios investigadores sugieren que la adopción de métodos de firma digital y auditorías automatizadas de código reduciría la superficie de ataque.

Implicaciones para Empresas y Usuarios

Para las empresas, este incidente subraya la necesidad de reforzar la gobernanza sobre las extensiones de navegador, así como de implementar soluciones de gestión centralizada. El incidente también expone la urgencia de revisar el cumplimiento de GDPR y NIS2, ya que la filtración de datos personales a través de extensiones puede conllevar sanciones significativas.

En el caso de los usuarios, la recomendación es limitar el uso de extensiones a aquellas estrictamente necesarias y de desarrolladores reconocidos, así como mantener una vigilancia activa sobre los permisos concedidos.

Conclusiones

El compromiso de extensiones tras un cambio de propiedad es una amenaza creciente para la seguridad en navegadores, con potenciales consecuencias graves tanto para usuarios finales como para empresas. La supervisión activa, la gestión basada en riesgos y la concienciación son fundamentales para mitigar este vector de ataque, que seguirá presente mientras persista la falta de controles en las tiendas de extensiones.

(Fuente: feeds.feedburner.com)