Esta misma semana, los investigadores de Socket han descubierto un hallazgo que puede poner entre la espada y la pared a muchos usuarios. Y es que dos extensiones de Chrome han estado robando datos de los usuarios durante 8 años sin ser detectadas hasta ahora. Pero no hablamos de simple malware, sino de un fraude más sofisticado.
Los usuarios paran por la extensión Phantom Shuttle, creyendo que están haciéndose con un buen servicio VPN, cuando en realidad están financiando el propio robo de sus datos. El mecanismo de funcionamiento de esta extensión intercepta automáticamente todo el tráfico de internet del usuario, e inyecta datos falsos en cada autenticación. Así, actúa como intermediaria entre los usuarios y los sitios web que visita. El usuario cree que cuenta con una VPN segura, pero en realidad, sus contraseñas, tarjetas de crédito, tokens de acceso y cualquier tipo de cuenta se filtra a servidores que están controlados por atacantes.
Pero lo más preocupante es que no es ni la primera, ni la segunda, ni la tercera, ni la cuarta vez que esto ocurre. Chrome tiene un modelo de seguridad muy frágil que muchas extensiones maliciosas han esquivado sin problema alguno.
La «VPN» de Phantom Suttle
Las 2 variantes de Phantom Shuttle se publicaron en los años 2017 y 2023 respectivamente. La primera llegó a acumular 2.000 usuarios, y la más reciente, 180. De hecho, ambas se han promocionado de idéntica manera. Es decir, como herramientas reales dirigidas a desarrolladores y prácticamente todo tipo de usuario. Pero su fraude es extremadamente simple. Así lo han publicado los investigadores de ciberseguridad de Socket.
Los usuarios descargan la extensión, pagan una suscripción -tiene que ser en yuanes chinos, a través de Alipay- y reciben el «estado VIP». Que en realidad podría decirse que es donde estás perdido. Aquí es donde comienza su «verdadero» trabajo. Lo que sucede es aterrador para cualquier usuario.
La extensión comienza a inyectar código maligno en 2 librerías JavaScript: jquery y script.js. Esto intercepta automáticamente cada autenticación HTTP que el navegador recibe. Y cuando cualquier sitio web pide credenciales de autenticación, la extensión responde con credenciales proxy modificadas (topfany / 963852wei).
Tras ello, configura Chrome para enrutar el tráfico en más de 170 dominios de alto valor a través de servidores proxy que controlan los atacantes. En esta lista, se incluyen plataformas como:
- GitHub
- Stack Overflow
- Docker
- AWS
- Azure
- Digital Ocean
- Cisco
- IBM
- VMware
E incluso sitios de contenido adulto. Mientras todo esto sucede, cada 5 minutos la extensión envía el correo y la contraseña del usuario al servidor de control. Por lo que es una filtración de datos continua. Así, el atacante captura las contraseñas, números de tarjeta de crédito, cookies, historial de navegación, datos de formularios, claves API y tokens de acceso.
Incluso haciendo todo esto, la VPN sigue funcionando tal y como se espera: pruebas de latencia perfectas, estado de conexión en tiempo real, una ilusión perfecta de un producto legal y funcional.
El agujero estructural de Google Chrome
Hemos llegado a un punto en que, tras el gran número de extensiones maliciosas encontradas en Chrome, el verdadero problema no es que existan tantas, sino que Google ha permitido que esto suceda. Obviamente, no como cómplice, sino con su modelo de permisos para extensiones extremadamente permisivo.
Una extensión puede solicitar acceso a nuestro tráfico, nuestras credenciales o nuestro historial de navegación. Obviamente, muchos usuarios confían en su navegador y aceptan estas condiciones. De hecho, Phantom Shuttle parecía totalmente legal en Chrome Web Store. Con sus descripciones, usuarios y reseñas.
Por lo que Google debería reforzar sus sistemas automáticos y actualizarse ante amenazas para detectar los comportamientos malignos. Especialmente, revisar en profundidad las extensiones que piden permisos de proxy y sistemas de suscripción. Pero, o bien no lo hace, o no lo hace bien.
