Espionaje masivo: extensiones falsas de IA comprometen usuarios
TL;DR
Investigadores de seguridad cibernética descubren una campaña maliciosa que involucra extensiones de navegador Chrome disfrazadas de asistentes de inteligencia
Investigadores de seguridad cibernética descubren una campaña maliciosa que involucra extensiones del navegador Chrome, disfrazadas de asistentes de inteligencia artificial. Aproximadamente 260 mil usuarios fueron afectados por 30 extensiones que, a pesar de parecer distintas, comparten el mismo código interno e infraestructura.
Estas extensiones, que se instalaron bajo la promesa de ayudar en la redacción de textos y correos electrónicos, presentaban una fachada de legitimidad y poseían permisos elevados, esenciales para su funcionamiento, pero que también representan una vulnerabilidad significativa.
Operación engañosa
Las extensiones eran llamadas asistentes de IA, prometiendo diversas funcionalidades. Más de 260 mil instalaciones ocurrieron, muchas de ellas dirigidas por un sello de "Destacado" de la tienda oficial de extensiones de Google, lo que aumenta la confianza de los usuarios.
Los atacantes utilizaron una técnica llamada iframe remoto. Esto permite que la extensión abra una ventana embebida que carga contenido de un servidor externo, en este caso, controlado por los criminales. El servidor era denominado tapnetic.pro, cuyo contenido podía ser alterado en cualquier momento.
Captura de datos y espionaje
El contenido en cuestión incluía textos de páginas que la víctima estaba accediendo, extraídos con la ayuda de una biblioteca de Readability, de Mozilla. El robo de información se extendía hasta páginas internas de empresas y sistemas autenticados.
Además, la extensión podía activar el micrófono de la víctima, utilizando la Web Speech API, para grabar conversaciones sin el consentimiento del usuario, catalogando información crítica.
Espionaje de Gmail
Uno de cada dos extensiones tenía un módulo especializado en espiar el Gmail. Estos scripts se activaban tan pronto como la página comenzaba a cargar, permitiendo que los atacantes leyeran el contenido de los correos electrónicos accedidos por las víctimas.
La extensión también lograba monitorear y capturar conversaciones y composiciones en tiempo real, enviando datos a los servidores de los atacantes.
Infraestructura de control remoto
La operación maliciosa estaba coordinada desde el dominio tapnetic.pro, caracterizando una infraestructura de comando y control (C2). El sitio usado por los atacantes tenía apariencia común, pero no ofrecía servicios reales, sirviendo solo como fachada.
Los subdominios permitían que, si uno de ellos era bloqueado, otros continuaran funcionando, garantizando la continuidad de la operación.
Maniobras de evasión
Los criminales mostraron habilidad en eludir las eliminaciones de extensiones. Extensiones eliminadas rápidamente reaparecían con nuevos nombres, pero con el mismo código, utilizando la técnica conocida como extension spraying, que aumenta la resiliencia de la operación.
Implicaciones de la campaña
La sofisticada combinación de factores, como la confianza en las extensiones de IA, la legitimidad aparente conferida por la Chrome Web Store, y la arquitectura técnica que oculta la verdadera funcionalidad, resultan en un sistema difícil de detectar.
Esta situación levanta preocupaciones sobre la seguridad y privacidad de los usuarios en Internet, destacando la necesidad de mayor vigilancia y educación digital. La evolución de estas tácticas proporciona una alerta sobre los riesgos asociados al uso de tecnología aparentemente segura.
Contenido seleccionado y editado con asistencia de IA. Fuentes originales referenciadas arriba.
