Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Extensiones de navegador maliciosas de ShadyPanda

Extensiones de navegador maliciosas de ShadyPanda

Por Mezo en Software malicioso
Traducir a:

En un ejemplo sorprendente de ciberexplotación a largo plazo, un actor de amenazas conocido como ShadyPanda llevó a cabo una campaña de siete años dirigida a extensiones de navegador, acumulando más de 4,3 millones de instalaciones. Esta operación demuestra cómo incluso el software legítimo puede ser utilizado como arma cuando no existe una supervisión adecuada.

De herramientas legítimas a actualizaciones maliciosas

Cinco de las extensiones comprometidas comenzaron como aplicaciones legítimas, pero fueron modificadas con funcionalidad maliciosa a mediados de 2024. Estas actualizaciones atrajeron aproximadamente 300.000 instalaciones antes de que finalmente se eliminaran. Las actualizaciones maliciosas permitían la ejecución remota de código cada hora, lo que permitía a los atacantes descargar y ejecutar JavaScript arbitrario con acceso completo al navegador. Una vez activas, estas extensiones:

  • Monitorea cada sitio web visitado.
  • Exfiltrar el historial de navegación cifrado.
  • Recopilar huellas dactilares completas del navegador.

Un ejemplo notable es Clean Master, previamente verificado por Google. Su estatus oficial ayudó a ShadyPanda a ampliar su base de usuarios, permitiendo actualizaciones maliciosas sin levantar sospechas.

Vigilancia masiva mediante complementos populares

Otro conjunto de cinco extensiones, incluyendo WeTab, monitorizaba a los usuarios a gran escala. Estos complementos rastreaban URL, consultas en buscadores, clics del ratón y otras interacciones del navegador, transmitiendo los datos a servidores ubicados en China. En conjunto, estas extensiones se instalaron aproximadamente cuatro millones de veces, y WeTab solo registró tres millones de instalaciones.

Los primeros indicios de comportamiento malicioso aparecieron en 2023, cuando los desarrolladores 'nuggetsno15' y 'rocket Zhang' publicaron 20 extensiones de Chrome y 125 extensiones de Edge disfrazadas de fondos de pantalla o herramientas de productividad.

Explotación del fraude de afiliados y secuestro del navegador

Las extensiones de ShadyPanda inicialmente se dedicaban al fraude de afiliados, inyectando códigos de seguimiento en sitios como eBay, Amazon y Booking.com para generar comisiones ilícitas. A principios de 2024, las tácticas se intensificaron hasta el control activo del navegador, incluyendo:

  • Recolección de consultas de búsqueda.
  • Redireccionar búsquedas a través de trovi.com, un conocido secuestrador.
  • Exfiltración de cookies de dominios específicos.

A mediados de 2024, se modificaron tres extensiones con un uso legítimo de larga data para obtener cargas útiles de JavaScript cada hora desde 'api.extensionplay(punto)com', ejecutándolas para monitorear cada visita al sitio y transmitir datos cifrados a 'api.cleanmasters(punto)store'. Las cargas útiles estaban altamente ofuscadas y entraban en modo inocuo si se detectaban herramientas de desarrollo, lo que ayudaba al malware a evadir la detección.

Capacidades de ataque avanzadas

Además del seguimiento, estas extensiones podrían organizar ataques de adversario en el medio (AitM), lo que facilita:

  • Robo de credenciales.
  • Secuestro de sesión.
  • Inyección de código arbitrario en cualquier sitio.

La vigilancia se intensificó con complementos de Microsoft Edge como WeTab, que capturaban gran cantidad de interacciones de los usuarios, incluyendo el comportamiento de desplazamiento, el tiempo de permanencia en las páginas y todas las huellas digitales del navegador. Estas extensiones ya no están disponibles para su descarga en sus respectivas tiendas.

Acciones recomendadas para los usuarios

Esta campaña atravesó cuatro fases distintas, evolucionando desde herramientas legítimas hasta software espía sofisticado. Aunque no está claro si el número de descargas se infló artificialmente para parecer legítimo, el riesgo para los usuarios sigue siendo grave. Quienes hayan instalado alguna de estas extensiones deben eliminarlas inmediatamente y rotar las contraseñas de todas sus cuentas en línea.

Ejemplos de extensiones afectadas:

  • Clean Master: el mejor limpiador de caché de Chrome
  • Speedtest Pro: prueba de velocidad de Internet en línea gratuita
  • BlockSite
  • Selector de motor de búsqueda en la barra de direcciones
  • Nueva pestaña de SafeSwift
  • Nueva pestaña de Infinity V+
  • OneTab Plus: Administración de pestañas y productividad
  • WeTab 新标签页
  • Nueva pestaña Infinity para dispositivos móviles
  • Nueva pestaña Infinity (Pro)
  • Nueva pestaña Infinity
  • Sueña lejos Nueva pestaña
  • Administrador de descargas Pro
  • Fondo de pantalla con temática de galaxia HD 4k Página de inicio
  • Página de inicio de fondo de pantalla HD de Halo 4K
  • Lecciones de ShadyPanda

El éxito de ShadyPanda subraya que la sofisticación técnica por sí sola no es necesaria; la campaña prosperó aprovechando una vulnerabilidad sistémica en los mercados de extensiones de navegador. Las extensiones se revisan al enviarse, pero el comportamiento posterior a la aprobación prácticamente no se supervisa. Esta brecha de supervisión a largo plazo permitió que herramientas confiables evolucionaran silenciosamente hacia plataformas de vigilancia, lo que pone de relieve la necesidad de una vigilancia constante, incluso con software verificado.

Tendencias

Mas Visto

Cargando...