Extensiones polimórficas: Infostealers en extensión del navegador

Iniciado por AXCESS, Marzo 06, 2025, 03:51:15 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 06, 2025, 03:51:15 PM Ultima modificación: Marzo 06, 2025, 04:54:16 PM por AXCESS
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Con las recientes revelaciones de ataques como el Browser Syncjacking y los ladrones de información de extensiones, las extensiones de navegador se han convertido en una preocupación de seguridad principal en muchas organizaciones.

El equipo de investigación de SquareX descubre una nueva clase de extensiones maliciosas que pueden hacerse pasar por cualquier extensión instalada en el navegador de la víctima, incluidos los administradores de contraseñas y las billeteras de criptomonedas.

Estas extensiones maliciosas pueden transformarse para tener exactamente la misma interfaz de usuario, los mismos íconos y el mismo texto que la extensión legítima, lo que las convierte en un caso extremadamente convincente para que las víctimas ingresen sus credenciales y otra información confidencial.

Este ataque afecta a la mayoría de los navegadores principales, incluidos Chrome y Edge.

Las extensiones polimórficas funcionan explotando el hecho de que la mayoría de los usuarios interactúan con las extensiones a través de la barra de herramientas del navegador. El ataque comienza cuando el usuario instala la extensión maliciosa, que se disfraza, por ejemplo, como una herramienta de inteligencia artificial discreta. Para que el ataque sea aún más convincente, la extensión realiza la funcionalidad de inteligencia artificial como se anuncia y permanece benigna durante un período de tiempo predeterminado.

Sin embargo, mientras todo esto sucede, la extensión maliciosa comienza a averiguar qué otras extensiones están instaladas en el navegador de la víctima. Una vez identificada, la extensión polimórfica cambia por completo su propia apariencia para parecerse a la del objetivo, incluido el icono que se muestra en la barra de herramientas fijada. Incluso puede desactivar temporalmente la extensión de destino, eliminándola de la barra fijada. Dado que la mayoría de los usuarios utilizan estos iconos como una confirmación visual para informar con qué extensión están interactuando, es probable que cambiar el icono en sí sea suficiente para convencer al usuario medio de que está haciendo clic en la extensión legítima. Incluso si la víctima navega hasta el panel de control de la extensión, no hay una forma obvia de correlacionar las herramientas que se muestran allí con los iconos fijados. Para evitar sospechas, la extensión maliciosa puede incluso desactivar temporalmente la extensión de destino de modo que sean los únicos que tengan el icono del objetivo en la pestaña fijada.

Fundamentalmente, la extensión polimórfica puede hacerse pasar por cualquier extensión del navegador. Por ejemplo, puede imitar a los administradores de contraseñas populares para engañar a las víctimas para que introduzcan su contraseña maestra.

El atacante puede usar esta contraseña para iniciar sesión en el administrador de contraseñas real y acceder a todas las credenciales almacenadas en la bóveda de contraseñas. De manera similar, la extensión polimórfica también puede imitar las billeteras de criptomonedas populares, lo que les permite usar las credenciales robadas para autorizar transacciones para enviar criptomonedas al atacante. Otros objetivos potenciales incluyen herramientas para desarrolladores y extensiones bancarias que pueden proporcionar al atacante acceso no autorizado a aplicaciones donde se almacenan datos confidenciales o activos financieros.

Además, el ataque solo requiere permisos de riesgo medio según la clasificación de Chrome Store. Irónicamente, muchos de estos permisos son utilizados por los propios administradores de contraseñas, así como por otras herramientas populares como bloqueadores de anuncios y estilizadores de páginas, lo que hace que sea especialmente difícil para Chrome Store y los equipos de seguridad identificar intenciones maliciosas con solo mirar el código de la extensión.

El fundador de SquareX, Vivek Ramachandran, advierte que "las extensiones del navegador presentan un riesgo importante para las empresas y los usuarios actuales. Desafortunadamente, la mayoría de las organizaciones no tienen forma de auditar su huella de extensiones actual y verificar si son maliciosas. Esto subraya aún más la necesidad de una solución de seguridad nativa del navegador como Browser Detection and Response, similar a lo que un EDR es para el sistema operativo".

Estas extensiones polimórficas explotan las características existentes dentro de Chrome para llevar a cabo el ataque. Como tal, no hay ningún error de software involucrado y no se puede parchear.

SquareX ha escrito a Chrome para una divulgación responsable, recomendando la prohibición o la implementación de alertas de usuario para cualquier cambio de ícono de extensión o cambios abruptos en HTML, ya que los atacantes pueden aprovechar fácilmente estas técnicas para suplantar otras extensiones en un ataque polimórfico. Para las empresas, el análisis estático de extensiones y las políticas basadas en permisos ya no son suficientes: es fundamental tener una herramienta de seguridad nativa del navegador que pueda analizar dinámicamente el comportamiento de las extensiones en tiempo de ejecución, incluidas las tendencias polimórficas de las extensiones maliciosas.

Para obtener más información sobre las extensiones polimórficas, los hallazgos adicionales de esta investigación están disponibles en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Acerca de SquareX

SquareX ayuda a las organizaciones a detectar, mitigar y buscar amenazas de ataques web del lado del cliente que ocurren contra sus usuarios en tiempo real, incluida la defensa contra extensiones maliciosas. Además del ataque polimórfico, SquareX también fue el primero en descubrir y revelar múltiples ataques basados en extensiones, incluido el Browser Syncjacking, el ataque de phishing de consentimiento de Chrome Store que condujo a la violación de Cyberhaven y muchas otras extensiones maliciosas compatibles con MV3 reveladas en DEF CON 32.

La solución de detección y respuesta del navegador (BDR) de SquareX, la primera en la industria, adopta un enfoque centrado en los ataques para la seguridad del navegador, lo que garantiza que los usuarios empresariales estén protegidos contra amenazas avanzadas como códigos QR maliciosos, phishing de navegador en el navegador, malware basado en macros y otros ataques web que abarcan archivos maliciosos, sitios web, scripts y redes comprometidas.

Además, con SquareX, las empresas pueden proporcionar a los contratistas y trabajadores remotos acceso seguro a aplicaciones internas, SaaS empresarial y convertir los navegadores en dispositivos BYOD/no administrados en sesiones de navegación confiables.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario