Descubren campaña maliciosa con 108 extensiones de Chrome que inyectan código y roban datos

Introducción

Un reciente hallazgo de la firma de ciberseguridad Socket ha puesto en alerta a la comunidad profesional tras descubrirse una sofisticada campaña que emplea un clúster de 108 extensiones para Google Chrome. Dichas extensiones, interconectadas y vinculadas a una misma infraestructura de mando y control (C2), han sido diseñadas para recolectar datos sensibles de los usuarios y permitir la ejecución de código arbitrario a nivel de navegador, abriendo la puerta a inyecciones masivas de anuncios y JavaScript en cualquier página web visitada. Este incidente supone uno de los ataques más extensos dirigidos al ecosistema de extensiones de Chrome en los últimos años.

Contexto del Incidente

Las extensiones de navegador se han consolidado como vectores de ataque recurrentes en los últimos tiempos, aprovechando la confianza que usuarios y administradores depositan en el repositorio oficial de Chrome Web Store. La campaña identificada por Socket destaca tanto por la escala —108 extensiones interrelacionadas— como por la sofisticación de sus mecanismos de comunicación y persistencia, logrando evadir durante meses los sistemas de revisión de Google.

El objetivo principal de la campaña es doble: por un lado, la recolección masiva de información relacionada con la navegación, hábitos y posibles credenciales, y por otro, el abuso del entorno de ejecución del navegador para desplegar anuncios intrusivos e inyectar código JavaScript arbitrario, con todas las implicaciones que esto conlleva en términos de seguridad y privacidad.

Detalles Técnicos

Las extensiones maliciosas comparten un patrón de comunicación centralizado con una infraestructura C2 única, lo que ha permitido a los investigadores rastrear la campaña y atribuirla a un único actor o grupo coordinado. Técnicamente, estas extensiones utilizan permisos excesivos —como acceso a todas las páginas web visitadas y manipulación del DOM— y mecanismos de actualización dinámica de código JavaScript, permitiendo la inyección de payloads en tiempo real desde los servidores de los atacantes.

El TTP (Tactics, Techniques, and Procedures) identificado se alinea con técnicas recogidas en el framework MITRE ATT&CK, específicamente en las siguientes categorías:

– T1190 (Exploit Public-Facing Application): Aprovechando la distribución masiva en un repositorio público.
– T1136 (Create Account): Generación de extensiones falsas con identidades legítimas.
– T1086 (PowerShell): Inyección y ejecución de scripts, aunque en este caso mediante JavaScript.
– T1059.007 (Command and Scripting Interpreter: JavaScript).

Como IoC (Indicators of Compromise), se han publicado los hashes de las extensiones, los IDs específicos de Chrome y las direcciones IP del C2. A día de hoy, las versiones afectadas son todas las variantes de Chrome que permitan la instalación de extensiones desde la Chrome Web Store, sin restricción de sistema operativo ni arquitectura.

Se ha verificado la existencia de exploits públicos que permiten a un atacante remoto tomar control parcial de la sesión de usuario, redirigir tráfico, interceptar formularios o desplegar cryptojackers, todo ello sin intervención adicional del usuario tras la instalación de la extensión.

Impacto y Riesgos

El alcance de la campaña es significativo: según análisis preliminares, se estima que más de 1,4 millones de usuarios han instalado al menos una de las extensiones comprometidas. Las implicaciones van desde la fuga de datos personales y corporativos —incluyendo credenciales de acceso, tokens de sesión y datos de navegación— hasta la manipulación de la experiencia de usuario mediante anuncios fraudulentos, phishing y redirecciones a dominios maliciosos.

Desde el punto de vista económico, se calcula que los ingresos derivados de la publicidad inyectada y el tráfico redirigido podrían superar los 2 millones de euros anuales para los operadores de la campaña. Además, organizaciones sujetas a normativas como GDPR y NIS2 podrían enfrentarse a sanciones significativas si no se detecta y remedia a tiempo la brecha.

Medidas de Mitigación y Recomendaciones

Se recomienda a los responsables de seguridad y administradores de sistemas:

– Auditar y restringir la instalación de extensiones de navegador mediante políticas centralizadas (GPO, MDM).
– Supervisar los artefactos de Chrome presentes en los endpoints e implementar listas blancas.
– Mantener actualizado el inventario de extensiones y monitorizar los IoC publicados.
– Desplegar soluciones EDR capaces de detectar actividad anómala a nivel de navegador.
– Realizar campañas de concienciación para evitar la instalación de extensiones no verificadas.
– Revisar logs de navegación en busca de patrones de inyección o redirección sospechosa.

Opinión de Expertos

Analistas de Socket y otros referentes del sector subrayan la creciente profesionalización de los grupos que operan campañas basadas en extensiones, señalando que los mecanismos de revisión automatizada de Google siguen sin ser suficientes ante la creatividad de los atacantes. Se destaca la necesidad de una evaluación manual más exhaustiva y la colaboración entre fabricantes de navegadores y el sector de la ciberseguridad.

Implicaciones para Empresas y Usuarios

Para entornos corporativos, el riesgo es doble: exposición de datos sensibles y potencial brecha de cumplimiento normativo. Los equipos SOC y los CISOs deben incluir la supervisión de extensiones en sus estrategias de defensa, así como establecer políticas restrictivas y procedimientos rápidos de respuesta ante detección de extensiones maliciosas.

En el caso de usuarios particulares, la recomendación es minimizar el número de extensiones instaladas y revisar periódicamente los permisos concedidos.

Conclusiones

La campaña detectada evidencia el potencial de las extensiones de navegador como vector de ataque de alto impacto. Ante la sofisticación y la escala alcanzada por estas amenazas, resulta imprescindible reforzar las políticas de seguridad, la monitorización y la concienciación, tanto a nivel individual como corporativo. La vigilancia activa y la colaboración sectorial serán clave para mitigar riesgos emergentes en el ecosistema de extensiones de navegador.

(Fuente: feeds.feedburner.com)