La BfV y el NIS emitieron un aviso conjunto el 20 de marzo de 2023 para advertir sobre dos métodos de ataque utilizados por el grupo de ciberdelincuentes norcoreanos Kimsuky que recurre al phishing selectivo para el ciber espionaje. Estos métodos incluyen una extensión maliciosa de Chrome y aplicaciones de Android. Aunque la campaña está dirigida a personas de Corea del Sur, las técnicas pueden ser utilizadas en todo el mundo. Esta situación reabre el debate sobre los riesgos que conlleva la instalación de extensiones.
El peligro de las extensiones
Las extensiones de navegador son módulos de software que personalizan los navegadores web y ofrecen diversas funcionalidades como la modificación de la interfaz de usuario, el bloqueo de publicidad y la administración de cookies. A pesar de su utilidad, las extensiones pueden ser una amenaza para las organizaciones y sus colaboradores, ya que pueden presentar fallas tales como:
Extensiones maliciosas
Las extensiones maliciosas pueden distribuirse a través de sitios web de terceros y también han logrado infiltrarse en tiendas oficiales. Además, las extensiones requieren permisos que otorgan accesos adicionales, como al micrófono, teclado, entre otros e incluso a información personal y datos de navegación con el consentimiento del usuario que no siempre tiene claro lo que abarcan estas autorizaciones.
Si bien las extensiones básicas a veces requieren permisos como "leer y modificar todos los datos en los sitios que visita" para funcionar correctamente, esto le entrega a los hackers el poder de usar esa información para cualquier propósito.
Secuestro y compra de extensiones
Las extensiones inofensivas pueden almacenar grandes cantidades de información personal, incluyendo lo que se escribe en el teclado y capturas de pantalla representando un riesgo para la confidencialidad sin medidas de seguridad adecuadas. A través de un phishing a los desarrollados, se pueden obtener datos para lanzar descargas de actualizaciones y obtener información de los usuarios.
Esto también se puede generar a través de la compra de extensiones por parte de organizaciones, quienes luego pueden realizar el mismo proceso de actualización para objetivos maliciosos o para añadir funciones no deseadas.
El mal uso de la información
Debido a la alta capacidad de las extensiones para recopilar datos sobre los usuarios, algunos desarrolladores poco éticos venden esta información a terceros de forma "anónima", aunque no lo suficiente para impedir a los compradores identificar los datos de los usuarios.
Es importante tener precaución al instalar extensiones y verificar su fuente antes de hacerlo dado que incluso, extensiones que tienen funciones legítimas pueden ser maliciosas y los desarrolladores incluyen palabras clave para que sus extensiones aparezcan al principio en la tienda del navegador y las promocionan como útiles.
En 2020, Google eliminó 106 extensiones maliciosas de la Chrome Web Store que se utilizaron para redirigir datos confidenciales, incluyendo contraseñas y cookies, y tomar capturas de pantalla. Las extensiones fueron descargadas 32 millones de veces y afectaron a más de 100 redes, incluyendo empresas de servicios financieros, petróleo y gas, salud y gobiernos.
Además de este, existen otros casos que han marcado relevancia en el último tiempo:
Extensión "AF"
Un correo electrónico de phishing invita a las víctimas a instalar una extensión de Chrome maliciosa llamada "AF". Una vez instalada, la extensión se activa cuando se visita Gmail y roba el contenido del correo electrónico sin detectar las protecciones de seguridad de la cuenta. Este ataque fue el que alertó a la BfV y al NIS. Este mismo grupo de ciberdelincuentes está asociado al ataque en octubre de 2022 a través de aplicaciones de Android.
Extensión de ChatGPT
Se ha creado una extensión falsificada de ChatGPT para Chrome que se integra en los resultados de búsqueda de Google y ha obtenido aproximadamente mil instalaciones diarias. La versión troyanizada intenta robar las cookies de sesión de Facebook y los actores malintencionados pueden utilizar las cuentas para campañas de publicidad maliciosa o para promover material prohibido. Los anuncios de búsqueda de Google para "ChatGPT 4" llevan a los usuarios a una página de inicio falsificada donde se promociona la extensión.
Venta de extensiones maliciosas
En enero de 2023 se descubrió a través de la dark web que un actor vendía extensiones maliciosas que funcionaban para la mayoría de los navegadores, incluidos Chrome, Opera y Firefox. Esta extensión permite, entre otros, el robo de credenciales de inicio de sesión y la captura de información del navegador, incluidas cookies y marcadores. El valor de la misma ascendía a la suma de $2,000 USD.
Recomendaciones
Es aconsejable revisar los permisos de cualquier extensión a instalar, ya sea de la tienda oficial o de terceros. Una forma de hacerlo es ingresando a "(chrome|edge|brave)://extensions" en la barra de direcciones del navegador o a través del menú del navegador.
Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques que se pueden realizar a través de extensiones web:
- Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
- Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
Por otra parte, la principal acción que se pueden tomar frente a este tipo de ataques es capacitar a los colaboradores con programas online de educación para que sean parte activa de la protección de la organización.
Fuentes
https://www.perallis.com/noticias/el-peligro-de-las-extensiones-del-navegador
https://securelist.lat/threat-in-your-browser-extensions/96988/