Los investigadores de seguridad de Koi Security han descubierto una sofisticada campaña de ciberataques denominada RedDirection, que logró infiltrar malware en los sistemas de más de 2.3 millones de usuarios a través de 18 extensiones maliciosas distribuidas en las tiendas oficiales de Chrome Web Store y Microsoft Edge Add-ons.
Estrategia de camuflaje y funcionalidad engañosa
La campaña RedDirection destacó por su técnica de ingeniería social avanzada, donde los atacantes desarrollaron extensiones que simulaban perfectamente herramientas legítimas y populares. Entre las aplicaciones comprometidas se encontraban selectores de color, servicios VPN, amplificadores de audio y teclados de emojis que funcionaban correctamente, lo que dificultaba enormemente su detección por parte de usuarios y sistemas de seguridad.
El núcleo malicioso operaba mediante un service worker ejecutándose en segundo plano, aprovechando la Chrome Extensions API. Este mecanismo interceptaba cada navegación del usuario, capturando las URLs visitadas y enviándolas a servidores remotos junto con identificadores únicos de usuario, creando así un sistema de vigilancia digital masiva.
Distribución y alcance de la infección
El análisis reveló que 11 extensiones fueron alojadas en Chrome Web Store mientras que 7 adicionales se distribuyeron através de Microsoft Edge Add-ons. Las extensiones de Edge acumularon más de 600,000 instalaciones, mientras que las versiones de Chrome registraron números significativamente superiores. Muchas de estas aplicaciones maliciosas contaban con verificación oficial, cientos de reseñas positivas y promoción activa dentro de las plataformas.
Un caso particular fue la extensión Volume Max – Ultimate Sound Booster, que había sido previamente señalada por especialistas de LayerX debido a comportamientos sospechosos, aunque inicialmente no se confirmó su naturaleza maliciosa.
Metodología de compromiso evolutiva
La investigación demostró que las versiones iniciales de las extensiones eran completamente seguras. Los atacantes implementaron una estrategia de compromiso retardado, insertando código malicioso através de actualizaciones automáticas después de que las aplicaciones hubieran ganado confianza del usuario. Algunas extensiones permanecieron legítimas durante varios años antes de ser comprometidas.
Esta táctica sugiere que los ciberdelincuentes lograron comprometer las cuentas de desarrolladores originales o adquirir proyectos existentes para posteriormente weaponizarlos. El sistema de actualización automática de ambos navegadores facilitó la distribución silenciosa del malware sin alertar a los usuarios.
Vectores de ataque y capacidades del malware
Aunque durante las pruebas no se observaron redirecciones maliciosas activas, la infraestructura implementada proporcionaba a los atacantes múltiples vectores de explotación. Las capacidades incluían monitoreo exhaustivo de la actividad de navegación, creación de perfiles detallados de usuarios y potencial para redirecciones hacia sitios de phishing o páginas con exploits.
La recopilación de datos de navegación permite a los atacantes realizar ataques dirigidos más efectivos, identificar patrones de comportamiento valiosos y potencialmente acceder a información sensible de sesiones de usuario.
Medidas de mitigación y respuesta
Los usuarios potencialmente afectados deben realizar inmediatamente una auditoría completa de sus extensiones instaladas, eliminando cualquier aplicación sospechosa o no utilizada. Es crucial limpiar completamente el historial de navegación, caché y datos almacenados, además de ejecutar un escaneo completo del sistema con software antimalware actualizado.
Este incidente subraya la importancia crítica de implementar políticas de seguridad más estrictas en las tiendas de aplicaciones oficiales y desarrollar mecanismos mejorados para detectar comportamientos maliciosos en actualizaciones de software. Los usuarios deben adoptar una postura de seguridad proactiva, revisando regularmente las extensiones instaladas y manteniéndose informados sobre las últimas amenazas de ciberseguridad para proteger efectivamente sus datos y privacidad digital.
