Extensión maliciosa de Chrome roba claves API de MEXC bajo la apariencia de automatizador de trading
Introducción
En el ecosistema de las criptomonedas, la seguridad de los exchanges centrales (CEX) es un asunto de máxima prioridad para los equipos de ciberseguridad y los responsables de infraestructuras críticas. Recientemente, investigadores en ciberseguridad han sacado a la luz un caso preocupante: una extensión maliciosa para Google Chrome, que se hace pasar por una herramienta legítima de automatización de trading para el exchange MEXC, está robando claves API de usuarios. Este incidente ilustra la sofisticación creciente de las amenazas dirigidas a plataformas de activos digitales y la necesidad de reforzar los controles de seguridad en torno a las extensiones de navegador.
Contexto del Incidente
MEXC es un exchange centralizado de criptomonedas con presencia en más de 170 países y millones de usuarios activos. Como muchos exchanges, permite la integración de claves API para que los usuarios automaticen operaciones o conecten aplicaciones de terceros. Sin embargo, estas claves, si son comprometidas, pueden permitir a actores maliciosos ejecutar operaciones no autorizadas, retirar fondos o manipular balances.
La extensión maliciosa, identificada como “MEXC API Automator” (ID: pppdfgkfdemgfknfnhpkibbkabhghhfh), fue descubierta en la Chrome Web Store con 29 descargas hasta la fecha de la divulgación. Su principal vector de ataque es el robo silencioso de las claves API que los usuarios introducen creyendo que están configurando una herramienta legítima de trading automatizado.
Detalles Técnicos
La investigación técnica revela que la extensión MEXC API Automator actúa como un troyano. Una vez instalada, solicita permisos de acceso a todas las páginas (host permissions) y monitoriza activamente el tráfico web de los usuarios. Mediante técnicas de web scraping y manipulación del DOM, intercepta las credenciales API cuando el usuario las introduce en la interfaz de la extensión o en la propia web de MEXC.
El robo de información se realiza en tiempo real, enviando las claves API capturadas a un servidor externo controlado por los atacantes. Los investigadores han identificado que la comunicación utiliza solicitudes HTTP POST cifradas, dificultando la detección por soluciones tradicionales de DLP o EDR.
En cuanto a los TTPs (Tactics, Techniques and Procedures) empleadas, la extensión encaja en los siguientes apartados del MITRE ATT&CK:
– T1086 (PowerShell): Aunque no ejecuta código PowerShell, emplea técnicas equivalentes en JavaScript para la ejecución de scripts maliciosos.
– T1056 (Input Capture): Captura la entrada del usuario en formularios sensibles.
– T1041 (Exfiltration Over C2 Channel): Exfiltra datos de credenciales a servidores remotos.
Los investigadores también han compartido los principales IoC (Indicators of Compromise), incluyendo el ID de la extensión, dominios C2 utilizados y hashes de versiones maliciosas.
Impacto y Riesgos
El impacto potencial es severo. Con el control de las claves API, los atacantes pueden:
– Realizar operaciones de compraventa no autorizadas.
– Transferir fondos a carteras externas.
– Modificar configuraciones de la cuenta o deshabilitar alertas de seguridad.
– Acceder a datos personales y financieros del usuario.
El riesgo se multiplica en entornos corporativos donde se gestionan grandes volúmenes de activos digitales y donde la exposición de una sola clave API puede suponer pérdidas económicas significativas. Según estimaciones recientes, los ataques a exchanges a través de API comprometidas han generado pérdidas superiores a 100 millones de dólares en el último año.
Medidas de Mitigación y Recomendaciones
Para los responsables de seguridad y equipos SOC, se recomienda:
1. Desplegar controles de whitelisting de extensiones en browsers corporativos y auditar periódicamente las instaladas.
2. Monitorizar logs de acceso y operaciones API, buscando patrones anómalos o no autorizados.
3. Implementar MFA (autenticación multifactor) y restricciones de IP para las claves API.
4. Revocar e invalidar inmediatamente cualquier clave API potencialmente expuesta.
5. Formar a los usuarios sobre los riesgos de instalar extensiones no verificadas y buenas prácticas de manejo de credenciales.
Además, se aconseja el uso de soluciones de detección de amenazas en endpoints (EDR) y monitorización avanzada de tráfico para identificar patrones de exfiltración similares.
Opinión de Expertos
Expertos como Pablo González, investigador senior en ciberseguridad, afirman: “Este incidente demuestra que los atacantes están adaptando sus técnicas a los flujos reales de trabajo de los usuarios. Las extensiones de navegador, por su bajo control y alta confianza, se han convertido en un vector privilegiado para ataques de alto impacto”.
Por su parte, la comunidad de bug bounty y algunos equipos de respuesta a incidentes (CSIRT) recomiendan que los exchanges refuercen sus controles sobre el manejo de claves API y colaboren activamente con los equipos de threat intelligence para identificar amenazas emergentes.
Implicaciones para Empresas y Usuarios
Las organizaciones sujetas a normativas como la GDPR (Reglamento General de Protección de Datos) o la futura NIS2 (Directiva europea sobre seguridad de redes y sistemas de información) deben considerar este tipo de incidentes como brechas de seguridad notificables, con las consiguientes sanciones por falta de diligencia en la protección de datos personales y financieros.
Para los usuarios particulares, la lección es clara: nunca instalar extensiones de fuentes no verificadas y limitar los permisos de las aplicaciones que acceden a cuentas de alto valor.
Conclusiones
El caso de la extensión “MEXC API Automator” es un recordatorio contundente de que los atacantes siguen innovando en la explotación de vectores poco vigilados, como las extensiones de navegador. La vigilancia continua, la formación y la aplicación estricta de políticas de seguridad son esenciales para mitigar estos riesgos en un sector en constante evolución.
(Fuente: feeds.feedburner.com)