Descubren que extensiones de Chrome y Edge infectadas por ShadyPanda suman más de 4,3 millones de instalaciones
Introducción
Un nuevo informe ha sacado a la luz una de las operaciones de malware más persistentes de los últimos años: ShadyPanda. Esta campaña, que ha pasado desapercibida durante largo tiempo, ha logrado infiltrar más de 4,3 millones de instalaciones a través de extensiones de navegador para Chrome y Edge. Bajo una apariencia legítima, estas extensiones han sido empleadas para comprometer la seguridad de usuarios y organizaciones, evolucionando en sus técnicas de ataque y sofisticación a lo largo del tiempo. El alcance y la persistencia de ShadyPanda suponen una amenaza significativa para el ecosistema de navegadores, requiriendo la máxima atención de profesionales de ciberseguridad.
Contexto del Incidente
ShadyPanda ha operado durante varios años, explotando la popularidad y la confianza del usuario en las extensiones de navegador. La campaña se ha basado en la publicación de extensiones aparentemente útiles —como gestores de tareas, bloqueadores de anuncios y utilidades de productividad— en las tiendas oficiales de Chrome Web Store y Microsoft Edge Add-ons. Pese a los controles implementados por Google y Microsoft, los actores de amenaza han conseguido que sus extensiones pasen los filtros automáticos y manuales, demostrando una notable capacidad de ingeniería social y adaptación frente a las políticas de revisión. En total, ShadyPanda ha logrado más de 4,3 millones de instalaciones, afectando tanto a usuarios particulares como a empresas, con especial incidencia en organizaciones europeas y norteamericanas.
Detalles Técnicos
El análisis forense de las extensiones asociadas a ShadyPanda revela una evolución en los TTP (Tactics, Techniques and Procedures) empleados, alineados con la matriz MITRE ATT&CK en técnicas como “User Execution: Malicious File” (T1204.002) y “Command and Control: Application Layer Protocol” (T1071.001). Inicialmente, las extensiones eran funcionales y legítimas, pero tras alcanzar una masa crítica de usuarios, recibían actualizaciones que introducían código malicioso sin activar alertas inmediatas.
Entre los CVE relevantes, se han observado vulnerabilidades relacionadas con la gestión de permisos excesivos y la inadecuada verificación de fuentes externas (por ejemplo, CVE-2023-4863 y CVE-2024-21388), permitiendo la exfiltración de datos y la ejecución de scripts remotos. Los vectores de ataque principales han sido:
– Inyección de scripts JavaScript para el robo de credenciales y cookies de sesión.
– Captura de formularios y datos personales introducidos en portales de banca online, correo electrónico y servicios corporativos.
– Redirección de tráfico a sitios de phishing y descarga de payloads adicionales.
Los IoC (Indicators of Compromise) incluyen dominios de C2 (Command and Control) rotativos, hashes de las versiones maliciosas de las extensiones y patrones anómalos de tráfico saliente hacia servidores en jurisdicciones con baja cooperación internacional en ciberseguridad. Se han detectado variantes del malware empaquetadas mediante Webpack y ofuscadas con herramientas como UglifyJS, dificultando la ingeniería inversa y la detección por soluciones EDR tradicionales. En algunos casos, los atacantes aprovecharon frameworks como Metasploit para la distribución lateral y la explotación de sistemas comprometidos dentro de redes corporativas.
Impacto y Riesgos
El impacto de la campaña ShadyPanda es considerable. El acceso a información sensible, como credenciales de acceso, correos electrónicos, datos bancarios y documentos corporativos, supone un riesgo directo para la confidencialidad, integridad y disponibilidad de los sistemas afectados. Organizaciones sujetas a normativas como GDPR o NIS2 pueden enfrentarse a sanciones económicas significativas ante una brecha de datos atribuida a estas extensiones (hasta el 4% de la facturación global anual según GDPR).
El riesgo se agrava por la capacidad de persistencia del malware, que puede sobrevivir a reinicios del navegador y evadir la detección gracias a la actualización dinámica del código malicioso desde servidores remotos. Según estimaciones, al menos un 12% de las extensiones de productividad populares en las tiendas oficiales han sido objeto de revisión tras la detección de ShadyPanda, con un coste económico derivado de la remediación y análisis forense que supera los 15 millones de dólares en empresas medianas y grandes.
Medidas de Mitigación y Recomendaciones
Para mitigar la amenaza de ShadyPanda y campañas similares, se recomienda:
– Auditoría periódica de las extensiones instaladas en los navegadores corporativos, eliminando cualquier extensión no aprobada.
– Configuración de políticas de grupo (GPO) en entornos Microsoft Windows para restringir la instalación de extensiones a listas blancas auditadas.
– Monitorización continua de tráfico de red en busca de patrones anómalos asociados a IoC de ShadyPanda.
– Actualización inmediata de navegadores y sistemas operativos para corregir vulnerabilidades conocidas.
– Formación continua a usuarios sobre riesgos asociados a la instalación de extensiones y buenas prácticas de ciberhigiene.
Opinión de Expertos
Expertos en ciberseguridad como Jürgen Schmidt, de Heise Security, advierten que “la sofisticación de campañas como ShadyPanda demuestra que las extensiones son un vector de ataque subestimado, incluso en entornos empresariales con políticas restrictivas”. Por su parte, analistas de Malwarebytes y Kaspersky coinciden en señalar la importancia de herramientas de sandboxing y la integración de soluciones EDR con capacidades específicas para analizar el comportamiento de extensiones de navegador.
Implicaciones para Empresas y Usuarios
La operación ShadyPanda evidencia la urgente necesidad de revisar las estrategias de seguridad asociadas a los navegadores, especialmente en empresas que emplean Chrome y Edge como plataformas estándar de acceso a servicios cloud. La dependencia de extensiones de terceros debe ser reevaluada, priorizando desarrollos internos o soluciones auditadas por terceros independientes. Por su parte, los usuarios deben ser conscientes de que la descarga de extensiones no oficiales representa un riesgo significativo para su privacidad y la seguridad de la información corporativa.
Conclusiones
La campaña ShadyPanda marca un hito en la evolución de las amenazas basadas en extensiones de navegador, combinando ingeniería social, explotación de vulnerabilidades y persistencia a largo plazo. Ante el riesgo de brechas de datos y sanciones regulatorias, las organizaciones deben adoptar un enfoque proactivo, reforzando la monitorización y el control sobre el ecosistema de extensiones y navegadores en sus infraestructuras.
(Fuente: www.bleepingcomputer.com)