Investigadores de ciberseguridad han descubierto una nueva campaña en la que se ha descubierto que un grupo de 108 extensiones de Google Chrome se comunican con la misma infraestructura de comando y control (C2) con el objetivo de recopilar datos del usuario y permitir el abuso a nivel del navegador mediante la inyección de anuncios y código JavaScript arbitrario en cada página web visitada.

Según Socket, las extensiones se publican bajo cinco identidades de editor distintas (Yana Project, GameGen, SideGames, Rodeo Games e InterAlt) y en conjunto han acumulado alrededor de 20.000 instalaciones en Chrome Web Store.

«Los 108 enrutan credenciales robadas, identidades de usuario y datos de navegación a servidores controlados por el mismo operador», investigador de seguridad Kush Pandya. dicho en un análisis.

De estos, 54 complementos roban la identidad de la cuenta de Google a través de OAuth2, 45 extensiones contienen una puerta trasera universal que abre URL arbitrarias tan pronto como se inicia el navegador, y las restantes participan en una variedad de comportamientos maliciosos.

• Exfiltrar sesiones web de Telegram cada 15 segundos
• Elimina los encabezados de seguridad de YouTube y TikTok (es decir, Política de seguridad de contenido, X-Frame-Options y CORS) e inyecta superposiciones y anuncios de juegos de azar.
• Inyecte scripts de contenido en cada página que visita el usuario.
• Proxy todas las solicitudes de traducción a través del servidor del actor de amenazas

En un intento de dar una apariencia de legitimidad, las extensiones identificadas se hacen pasar por clientes de la barra lateral de Telegram, máquinas tragamonedas y juegos de Keno, potenciadores de YouTube y TikTok, herramientas de traducción de texto y utilidades de páginas. La funcionalidad anunciada es diversa y tiene como objetivo lanzar una red amplia, mientras comparte el mismo backend.

Sin embargo, sin que los usuarios lo sepan, el código malicioso que se ejecuta en segundo plano captura información de la sesión, inyecta scripts arbitrarios y abre URL elegidas por el atacante.

Algunas de las extensiones identificadas se enumeran a continuación:

• Cuenta múltiple de Telegram (ID: obifanppcpchlehkjipahhphbcbjekfa), que extrae el token de autenticación de usuario utilizado por Telegram Web y filtra los datos a un servidor remoto. También puede sobrescribir localStorage con datos de sesión proporcionados por el actor de amenazas y forzar la carga de la aplicación de mensajería, reemplazando efectivamente la sesión activa de Telegram de la víctima con la sesión elegida por el actor de amenazas.
• Cliente web para Telegram: Teleside (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno), que elimina los encabezados de seguridad de Telegram e inyecta scripts para robar sesiones de Telegram.
• Formula Rush Racing Game (ID: akebbllmckjphjiojeioooidhnddnplj), que roba la identidad de la cuenta de Google del usuario la primera vez que la víctima hace clic en el botón de inicio de sesión. Esto incluye detalles como correo electrónico, nombre completo, URL de la imagen de perfil e identificador de cuenta de Google.

«Cinco extensiones utilizan la API declarativeNetRequest de Chrome para eliminar los encabezados de seguridad de los sitios de destino antes de que se cargue la página», dijo Socket. «Las 108 extensiones maliciosas comparten el mismo backend, alojado en 144.126.135[.]238.»

Actualmente no se sabe quién está detrás de las extensiones que violan la política. Sin embargo, un análisis del código fuente ha descubierto comentarios en ruso en varios complementos.

Se recomienda a los usuarios que hayan instalado cualquiera de las extensiones que las eliminen con efecto inmediato y cierren sesión en todas las sesiones web de Telegram desde la aplicación móvil de Telegram.