¡Cuidado! Extensiones maliciosas de Chrome roban datos de Google y Telegram a 20,000 usuarios
Investigadores de ciberseguridad han descubierto una campaña donde 108 extensiones maliciosas para el navegador Chrome están robando datos de usuarios de Google y Telegram. Estas extensiones se conectan a una misma infraestructura de comando y control (C2), un sistema que permite a los atacantes controlar las extensiones de forma remota, para recopilar información y manipular la navegación web mostrando anuncios no deseados e insertando código JavaScript malicioso en cada página que visitas. Esto afecta a alrededor de 20,000 usuarios.
Cómo operan las extensiones maliciosas
Las extensiones se disfrazan de herramientas útiles, pero en secreto roban información valiosa. Según la empresa de seguridad Socket, estas extensiones se distribuyen bajo cinco identidades de desarrollador distintas: Yana Project, GameGen, SideGames, Rodeo Games e InterAlt.
- 54 de estas extensiones roban la identidad de tu cuenta de Google mediante OAuth2, un protocolo que permite a aplicaciones de terceros acceder a tu información de Google.
- 45 contienen una puerta trasera universal (un acceso oculto) que abre URLs arbitrarias al iniciar el navegador.
- El resto realiza diversas actividades maliciosas, como extraer datos de Telegram Web cada 15 segundos, eliminar cabeceras de seguridad de YouTube y TikTok (Content Security Policy, X-Frame-Options, y CORS) para inyectar publicidad y contenido de apuestas, insertar scripts maliciosos en cada página web que visitas y redirigir todas las solicitudes de traducción a través de un servidor controlado por los atacantes.
¿Qué tipo de extensiones son?
Para parecer legítimas, estas extensiones se hacen pasar por clientes de Telegram, juegos de tragamonedas y keno, mejoradores de YouTube y TikTok, herramientas de traducción de texto y utilidades de página. La funcionalidad que ofrecen es variada, pero todas comparten la misma infraestructura maliciosa en segundo plano.
Ejemplos de extensiones peligrosas
Algunas de las extensiones identificadas son:
- Telegram Multi-account (ID: obifanppcpchlehkjipahhphbcbjekfa): roba el token user_auth utilizado por Telegram Web y lo envía a un servidor remoto. También puede sobrescribir datos de sesión y forzar la carga de la aplicación de mensajería, reemplazando tu sesión activa de Telegram por una sesión controlada por el atacante.
- Web Client for Telegram - Teleside (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno): elimina las cabeceras de seguridad de Telegram e inyecta scripts para robar sesiones de Telegram.
- Formula Rush Racing Game (ID: akebbllmckjphjiojeioooidhnddnplj): roba la identidad de tu cuenta de Google la primera vez que haces clic en el botón de inicio de sesión, incluyendo tu correo electrónico, nombre completo, URL de la foto de perfil e identificador de la cuenta de Google.
¿Cómo protegerte?
Si tienes instalada alguna de estas extensiones, elimínala inmediatamente y cierra sesión en todas tus sesiones de Telegram Web desde la aplicación móvil de Telegram.
¿Quién está detrás de esto?
Aunque no se sabe quién está detrás de estas extensiones, el análisis del código fuente ha revelado comentarios en idioma ruso en varios de los complementos.
Qué significa esto para ti
Esta campaña demuestra la importancia de ser cauteloso al instalar extensiones en tu navegador. Verifica siempre la reputación del desarrollador y los permisos que solicita la extensión. La seguridad de tu información personal está en juego.
