Una de las funciones que más rédito está dando a los ciberdelincuentes en los últimos meses son las extensiones del navegador Google Chrome. Las últimas informaciones apuntan a que varios ciberdelincuentes lograron infiltrar código malicioso en extensiones legítimas de Google Chrome. Este ataque, que compromete la seguridad de cientos de miles de usuarios, ha puesto de relieve los riesgos asociados con el uso de extensiones vulneradas. Entre las afectadas se encuentra Cyberhaven, cuyo caso fue el primero en destapar el problema.
El primer aviso llegó por parte de la empresa desarrolladora Cyberhaven, que confirmó un ataque contra su extensión para Chrome. Según la compañía, un empleado cayó víctima de un correo electrónico de phishing, lo que permitió a los atacantes insertar un troyano en la versión 24.10.4 de su herramienta. Este malware estaba diseñado para robar cookies y sesiones de autenticación, redirigiéndolas a un dominio controlado por los atacantes. Aunque Cyberhaven actuó rápidamente para mitigar el impacto, el daño inicial ya estaba hecho.
Otras extensiones comprometidas
Tras la divulgación inicial, el investigador de ciberseguridad Jaime Blasco, de Nudge Security, identificó al menos cuatro extensiones adicionales que habían sido infectadas con el mismo malware:
- Internxt VPN y VPNCity: Muchos son los usuarios que quieren navegar de forma segura y usan extensiones. Entre las manipuladas estaban dos gratuitas que contaban con más de 10.000 instalaciones.
- Uvoice: Un sistema de recompensas que otorga puntos a cambio de encuestas, con 40.000 descargas, fue otra de las extensiones manipuladas por los ciberdelincuentes. Uvoice opera como un sistema de incentivos: los usuarios completan tareas simples, como responder encuestas o permitir el seguimiento de su actividad en el dispositivo, a cambio de puntos que pueden ser canjeados por recompensas, pero también se exponen porque tienen que dar sus datos de usuario.
- ParrotTalks: es una extensión de Google Chrome diseñada para proporcionar resultados de búsqueda especializados en texto. Con aproximadamente 40.000 usuarios, su popularidad se debe a su capacidad para realizar búsquedas rápidas y específicas dentro de un amplio rango de fuentes.
Blasco también descubrió otros dominios y extensiones potencialmente comprometidas, como Bookmark Favicon Changer, Castorus y Wayin AI, lo que eleva el número total de extensiones afectadas a más de 20, con casi 380.000 descargas acumuladas.
El impacto del malware
El troyano incorporado en estas extensiones es particularmente peligroso. Entre sus capacidades se encuentran:
- Robo de cookies y sesiones autenticadas: Permite a los atacantes acceder a cuentas privadas de usuarios y a partir de ahí obtener información de autenticación.
- Filtración de datos sensibles: Entre la información que roban está la personal y financiera, para después actuar en nombre del usuario.
- Comandos remotos: Los atacantes pueden controlar el comportamiento del malware desde dominios maliciosos.
Según Cyberhaven, los datos robados se utilizan en plataformas de publicidad, en redes sociales e inteligencia artificial, mientras que Blasco señaló que los objetivos de los atacantes parecen ser aleatorios.
¿Qué hacer si tienes una extensión afectada?
Si has instalado alguna de estas extensiones, es crucial que tomes medidas inmediatas para proteger tus datos:
- Elimina la extensión: Desinstala las versiones comprometidas del navegador para evitar más filtraciones de datos. Si tienes cualquiera de estas extensiones de momento, desinstálalas hasta estar seguro de que no están manipuladas por ningún malware.
- Actualiza a versiones seguras: Si los desarrolladores han lanzado actualizaciones después del 26 de diciembre de 2024, asegúrate de instalarlas.
- Revisa tus registros: Busca cualquier actividad sospechosa en tu navegador, mira los cambios que se han podido producir. También comprueba las conexiones en el administrador de tareas de tu ordenador.
- Cambia tus contraseñas: Actualiza las credenciales de las cuentas que hayas utilizado durante el período de exposición, priorizando aquellas que no usan estándares de autenticación.