Investigadores de ciberseguridad de SquareX Labs han identificado una nueva y sofisticada amenaza que afecta a los usuarios del navegador Chrome. La vulnerabilidad permite a las extensiones maliciosas suplantar aplicaciones legítimas como gestores de contraseñas, carteras de criptomonedas y servicios bancarios, representando un riesgo significativo para la seguridad de los datos sensibles.

Vector de Ataque y Metodología de Infiltración

El ataque se inicia mediante la publicación de extensiones maliciosas en la Chrome Web Store, camufladas como herramientas legítimas. Los investigadores documentaron un caso donde una supuesta aplicación de marketing con IA ocultaba código malicioso que, tras su instalación, aprovecha el API chrome.management para identificar otras extensiones instaladas en el navegador.

Técnicas Avanzadas de Detección

La investigación revela dos métodos principales de detección de extensiones objetivo. El primero utiliza consultas directas a través del API chrome.management, mientras que el segundo emplea una técnica más sigilosa de inyección de recursos para detectar extensiones específicas mediante sus identificadores únicos.

Proceso de Suplantación y Exfiltración de Datos

Una vez identificada la extensión objetivo, el malware ejecuta un sofisticado proceso de suplantación. Los investigadores demostraron cómo el ataque, dirigido por ejemplo a 1Password, desactiva temporalmente la extensión legítima y presenta una interfaz falsa que simula una sesión caducada para capturar credenciales de acceso.

Mecanismos de Ocultación

El código malicioso implementa técnicas avanzadas de camuflaje, replicando con precisión elementos visuales como iconos, nombres y interfaces de usuario de las aplicaciones legítimas. Tras la captura de datos, restaura la funcionalidad normal de la extensión original, dificultando la detección del compromiso.

Medidas de Protección Recomendadas

Los expertos sugieren implementar controles más estrictos en la gestión de extensiones de Chrome, incluyendo restricciones en la modificación dinámica de elementos visuales y una reevaluación del nivel de riesgo del API chrome.management. Para los usuarios, se recomienda verificar cuidadosamente los permisos solicitados por nuevas extensiones y realizar auditorías regulares de las extensiones instaladas.

Esta nueva amenaza subraya la importancia de mantener una postura de seguridad proactiva al utilizar extensiones de Chrome. Los usuarios deben permanecer vigilantes, incluso cuando instalan extensiones desde la tienda oficial, y adoptar prácticas de seguridad robustas como la autenticación de dos factores y el monitoreo regular de actividades sospechosas en sus navegadores.