Más de 100 extensiones maliciosas en Chrome Web Store exponen a usuarios al robo de tokens OAuth2 y backdoors

Introducción

El ecosistema de extensiones del navegador Chrome, ampliamente utilizado tanto en entornos corporativos como personales, ha vuelto a ser objeto de preocupación en la comunidad de ciberseguridad. Recientemente, investigadores han detectado más de 100 extensiones maliciosas alojadas en la Chrome Web Store oficial, diseñadas específicamente para el robo de tokens OAuth2 Bearer de Google, la instalación de puertas traseras (backdoors) y la ejecución de campañas de fraude publicitario (ad fraud). Este hallazgo subraya la persistencia de amenazas avanzadas incluso en entornos aparentemente seguros y la necesidad de reforzar los controles y políticas de instalación de software en organizaciones de todos los tamaños.

Contexto del Incidente

El hallazgo se enmarca en una investigación llevada a cabo por analistas de amenazas tras identificar patrones anómalos en el tráfico de red generado por extensiones aparentemente legítimas. A diferencia de campañas anteriores, estas extensiones maliciosas lograron sortear los mecanismos de revisión de Google gracias a técnicas de ofuscación y la utilización de permisos ambiguos, lo que dificultó su detección inicial. La campaña, activa desde principios de 2024, afecta tanto a usuarios individuales como a empleados en grandes corporaciones, incrementando el riesgo de ataques dirigidos como el compromiso de cuentas empresariales, movimientos laterales y robo de información sensible.

Detalles Técnicos

Identificadores y versiones afectadas
Las extensiones identificadas presentan nombres y descripciones que simulan funcionalidades útiles, como gestores de descargas, bloqueadores de anuncios o herramientas de productividad, pero ocultan cargas maliciosas en su código fuente. En la mayoría de los casos, las extensiones afectadas solicitan permisos excesivos, como el acceso al contenido de todas las páginas web o la gestión de pestañas, lo que les permite interceptar tokens OAuth2 Bearer utilizados por Google para autorizar sesiones y servicios.

Vectores de ataque
El vector principal explota la API chrome.identity o directamente monitoriza el tráfico de autenticación, capturando los tokens en tránsito. Una vez obtenidos, los tokens son exfiltrados a servidores de mando y control (C2) bajo control de los atacantes, quienes pueden reutilizarlos para acceder a cuentas de Google, G Suite o Google Workspace sin necesidad de credenciales adicionales. Además, varias extensiones incluyen módulos obfuscados de JavaScript que descargan y ejecutan payloads adicionales, desplegando backdoors persistentes capaces de modificar el comportamiento del navegador, inyectar anuncios fraudulentos y manipular sesiones activas.

TTP (Tácticas, Técnicas y Procedimientos)
Según la matriz MITRE ATT&CK, las técnicas identificadas incluyen:

– Credential Access: Steal Application Access Token (T1528)
– Command and Control: Exfiltration Over Alternative Protocol (T1048)
– Persistence: Implant Internal Image (T1525)
– Defense Evasion: Obfuscated Files or Information (T1027)

IoC (Indicadores de Compromiso)
Se han publicado múltiples hashes de extensiones, dominios de C2 y patrones de tráfico asociados a la exfiltración de tokens, disponibles en repositorios de inteligencia de amenazas de la comunidad.

Impacto y Riesgos

El impacto potencial es significativo tanto para usuarios individuales como para organizaciones. El robo de tokens OAuth2 permite el acceso no autorizado a cuentas de Google, comprometiendo correos electrónicos, documentos y recursos en la nube. En entornos corporativos, esto puede derivar en filtraciones de datos amparadas por la GDPR (Reglamento General de Protección de Datos) y la Directiva NIS2, con consecuencias legales y económicas sustanciales. El despliegue de backdoors posibilita además ataques persistentes, movimientos laterales y la manipulación de sesiones activas, mientras que la ejecución de fraude publicitario puede generar pérdidas económicas y deteriorar la reputación de las empresas.

Medidas de Mitigación y Recomendaciones

– Auditoría inmediata de extensiones instaladas en entornos corporativos.
– Restricción de permisos de instalación de extensiones a través de políticas de grupo (GPO) o soluciones MDM.
– Implementación de detección de tráfico anómalo y exfiltración de tokens en firewalls y soluciones EDR.
– Formación de usuarios sobre riesgos asociados a extensiones de navegador.
– Monitorización continua de IoC publicados y aplicación de listas de bloqueo.
– Eliminación inmediata de extensiones identificadas como maliciosas y rotación de credenciales afectadas, incluyendo la revocación de tokens OAuth2 comprometidos.

Opinión de Expertos

Expertos en ciberseguridad como Jake Williams (SANS Institute) y ThreatLabZ de Zscaler subrayan que “la confianza en los marketplaces oficiales no debe ser absoluta”. Recomiendan implementar medidas de control de aplicaciones y monitorización continua de actividad en navegadores utilizados en entornos productivos. Según datos recientes, hasta un 18% de las organizaciones han experimentado incidentes relacionados con extensiones de navegador en el último año, lo que refleja la urgencia de abordar estos vectores de ataque.

Implicaciones para Empresas y Usuarios

El incidente pone de manifiesto la necesidad de que las empresas refuercen sus políticas de gestión de software y extensiones, especialmente ante la proliferación del trabajo remoto y la dependencia de aplicaciones cloud. La exposición de credenciales y datos confidenciales puede desencadenar investigaciones regulatorias y sanciones bajo la GDPR y la Directiva NIS2, además de daños reputacionales y económicos. Los usuarios, por su parte, deben extremar la prudencia al instalar extensiones y revisar periódicamente los permisos concedidos.

Conclusiones

La detección de más de 100 extensiones maliciosas en la Chrome Web Store oficial evidencia que el ecosistema de extensiones sigue siendo un vector de amenaza relevante y sofisticado. Las organizaciones deben adoptar un enfoque proactivo para la gestión y monitorización de extensiones, así como mantener una postura de defensa en profundidad para mitigar los riesgos asociados a la navegación web y el acceso a servicios cloud.

(Fuente: www.bleepingcomputer.com)