- Encuentra 108 extensiones maliciosas de Chrome que roban datos y tokens de socket
- Las extensiones recopilan información de la cuenta de Google, secuestran sesiones de Telegram y abren puertas traseras
- posiblemente operaciones rusas de MaaS; Más de 20.000 instalaciones, todavía disponibles en la tienda web
Aparentemente, un solo actor de amenazas ha introducido de contrabando más de 100 extensiones de navegador maliciosas en la tienda web oficial de Google Chrome, buscando robar tokens de autenticación e instalar puertas traseras en los dispositivos de las personas.
Al analizar el repositorio del navegador de Google, el investigador de seguridad Socket encontró 108 extensiones divididas en cinco categorías distintas: clientes de la barra lateral de Telegram, máquinas tragamonedas y juegos de keno, potenciadores de YouTube y TikTok, herramientas de traducción de texto y utilidades del navegador.
Mientras estaban en la superficie, todos cumplían lo previsto, mientras que en segundo plano realizaban todo tipo de trabajo malicioso.
El artículo continúa a continuación.
Sistema escalonado y nuevos anuncios.
Por ejemplo, se descubrió que un grupo de 78 extensiones inyectaba HTML controlado por el atacante en la interfaz de usuario, mientras que 54 extensiones recopilaban correos electrónicos, nombres, imágenes de perfil e ID de cuentas de Google.
También robaron el token de portador OAuth2 de Google. Un tercer grupo de 45 extensiones actúa como puerta trasera, recupera comandos de la infraestructura C2 y puede abrir URL arbitrarias. Algunas extensiones han secuestrado encabezados de seguridad e inyectado anuncios en YouTube y TikTok.
Sin embargo, se descubrió que la extensión más peligrosa robaba sesiones web de Telegram cada 15 segundos, extrayendo datos del almacenamiento local y tokens de sesión web de Telegram.
Si bien las extensiones se lanzaron desde cinco perfiles distintos, todas estaban conectadas a la misma infraestructura de comando y control, lo que sugiere que fue obra de un único actor de amenazas. A juzgar por los comentarios en el código de autenticación y robo de sesión, Socket concluyó que probablemente se trataba de una operación rusa de malware como servicio (MaaS). Sin embargo, no pudo atribuir la campaña a un actor o grupo específico.
Algunas fuentes dicen que las extensiones se han instalado al menos 20.000 veces hasta ahora y, a pesar de la solicitud de eliminación de Socket, Google aún no ha eliminado las extensiones del repositorio, por lo que si está utilizando alguna de estas, es mejor desinstalarlas inmediatamente.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréguenos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
