Investigadores en ciberseguridad han descubierto dos extensiones maliciosas para Google Chrome, publicadas por el mismo desarrollador, que están diseñadas para interceptar el tráfico de red y robar credenciales de usuario. Presentadas como un plugin de prueba de velocidad de red, estas extensiones han engañado a los usuarios, quienes creen que están pagando por un servicio VPN legítimo.
Proxys intermediarios
Ambas extensiones operan como proxies de hombre en el medio, realizando inyecciones de credenciales en solicitudes de autenticación HTTP y exfiltrando datos a un servidor de comando y control. A pesar de su fachada de servicio funcional, las extensiones configuran el navegador para redirigir el tráfico web a través de la infraestructura controlada por los atacantes, lo que permite un robo de datos extenso y efectivo.
Cada vez que un sitio web requiere autenticación, las extensiones responden automáticamente con credenciales de proxy predefinidas, sin requerir ninguna interacción del usuario. Esto garantiza que el tráfico de los usuarios pase por servidores maliciosos, permitiendo a los atacantes capturar datos sensibles como contraseñas y números de tarjetas de crédito. Además, la inclusión de dominios que abarcan desde plataformas de desarrollo hasta redes sociales indica un objetivo amplio y potencialmente devastador.
Los expertos advierten que las extensiones de navegador representan una capa de riesgo no gestionada que las empresas deben vigilar de cerca. Se aconseja a los usuarios eliminar sin demora estas extensiones y a los equipos de seguridad implementar listas de permitidos, así como monitorear intentos de autenticación sospechosos. El uso del idioma chino en las descripciones de las extensiones, así como la integración de sistemas de pago como Alipay y WeChat, sugieren que la operación podría estar basada en China.