En 2019, se reveló que una red de extensiones de navegador, principalmente para Chrome, había estado recopilando datos confidenciales de hasta cuatro millones de usuarios. Los datos extraídos incluían PII, historial de navegación, información médica y más. Luego, los datos se monetizaron mediante un plan de comercialización. Esta violación se conoció como la Incidente de DataSpiiy arrojó luz sobre hasta qué punto las extensiones maliciosas del navegador podrían comprometer la privacidad del usuario y la seguridad de los datos corporativos.

En los últimos años, el riesgo de extensiones de navegador maliciosas ha aumentado significativamente. Las extensiones de navegador maliciosas pueden recopilar datos confidenciales, monitorear actividades en línea, inyectar anuncios no deseados, desviar el tráfico a sitios maliciosos e incluso tomar el control del navegador de un usuario. Esto pone en peligro la privacidad, la seguridad y la experiencia general en línea de los usuarios y las organizaciones. 

Sin embargo, actualmente falta la pila tradicional de seguridad de red y endpoints cuando se trata de detectar y prevenir actividades maliciosas llevadas a cabo a través de extensiones del navegador. En esta publicación de blog, revelaremos cómo las extensiones maliciosas se infiltran en los dispositivos y qué pueden hacer las empresas para evitarlo. fortalecer sus redes.

Esta publicación de blog se basa en el informe "Revelando la amenaza de las extensiones de navegador maliciosas", que puede leer en su totalidad. esta página.

Tipos de extensiones maliciosas

Las extensiones maliciosas plantean un riesgo activo o potencial cuando se instalan en un navegador. Hay tres tipos de extensiones maliciosas:

  • Extensión inicialmente maliciosa – Una extensión creada por un adversario desde cero con fines maliciosos.
  • Extensión comprometida – Una extensión inicialmente legítima que pasó a ser propiedad de un adversario después de comprarla directamente o comprometer la cuenta de desarrollador de la extensión.
  • Extensión arriesgada – Una extensión legítima que tiene permisos excesivos.

Cómo se instalan las extensiones del navegador

Hay cinco métodos mediante los cuales una extensión maliciosa logra residir en el navegador de una víctima:

  1. Administración – Extensiones distribuidas de forma centralizada por los administradores de red dentro de la empresa. Se trata de ampliaciones con aprobación organizativa explícita.
  2. NORMAL – Extensiones descargadas de las tiendas oficiales del navegador. Los usuarios instalan extensiones visitando la lista de extensiones en la tienda web del navegador. 
  3. Desarrollo – Extensiones cargadas desde las computadoras locales de los empleados.
  4. Carga lateral – Extensiones instaladas por aplicaciones de terceros, como Adobe u otros proveedores de software. 
  5. actualización de software – Actualizar una extensión que fue comprometida por un adversario después de que se instaló por primera vez y se utilizó con fines legítimos.

Amplios permisos de extensión del navegador

Los permisos de extensión del navegador son el conjunto de reglas que dictan qué acciones puede realizar una extensión dentro de su navegador. Los permisos se solicitan y conceden cuando los usuarios instalan una extensión y pueden variar ampliamente según la funcionalidad prevista de la extensión.

Los permisos suelen ser la piedra angular de los ciberataques basados ​​en extensiones. Una vez instalada la extensión, los permisos se pueden utilizar para realizar operaciones maliciosas.

Los permisos riesgosos incluyen:

  • Cookies
  • Depurador
  • solicitud web
  • portapapeles
  • configuración de contenido
  • captura de escritorioֿ\pageCapture
  • Historia
  • Privacidad
  • apoderado
  • pestañaCapturar
  • https://*/*

Para obtener más detalles sobre cómo estos permisos permiten a los adversarios infiltrarse en dispositivos y acceder a datos confidenciales, leer el informe completo.

Cómo atacan las extensiones maliciosas del navegador

Una vez instaladas y concedidos los permisos, las extensiones pueden continuar infiltrándose en los sistemas de la organización. El ataque completo incluye los siguientes pasos:

  1. El adversario crea la extensión o compra una existente y le agrega código malicioso.
  2. La extensión se carga en una tienda web o en el servidor del adversario.
  3. Los usuarios se sienten atraídos a instalar la extensión mediante ingeniería social o descargándola en segundo plano.
  4. Una vez instalada, la extensión solicita una variedad de permisos, como acceso al historial de navegación, datos personales y más.
  5. Con los permisos concedidos, el adversario puede comenzar a ejecutar sus actividades maliciosas a través de la extensión. Por ejemplo, tomando contraseñas, cookies y certificados que se almacenan en el navegador.
  6. Los adversarios pueden mezclarse con el tráfico existente comunicándose mediante los protocolos de capa de aplicación OSI.
  7. Los adversarios pueden filtrar los datos capturados o extraídos por la extensión a través de varios canales. A menudo prefieren utilizar protocolos web estándar debido a la falta común de inspección del tráfico saliente por parte de firewalls/proxies.
  8. Existen numerosas formas en que un ataque malicioso basado en una extensión puede causar daño, dependiendo de las intenciones del actor que lo inicia. Éstas incluyen:
  • Acceso malicioso a los recursos de la organización utilizando las credenciales recopiladas. 
  • Aumentar la exposición de las organizaciones a ataques mediante la venta de datos comprometidos en la web oscura.
  • Ataques de phishing dirigidos basados ​​en los datos recopilados de los usuarios. 
  • Consumir energía informática para la minería de criptomonedas.
  • Inyectar software publicitario y publicidad maliciosa para redirigir a los usuarios a sitios web maliciosos.

Mitigación: ¿Qué puedes hacer?

Chrome no desinstala automáticamente las extensiones que sus desarrolladores no publicaron o que fueron eliminadas de la tienda, incluso si están marcadas como malware. En cambio, es responsabilidad de los usuarios eliminar la extensión. Esto hace que sea aún más importante implementar prácticas y controles de seguridad avanzados para proteger el navegador de extensiones maliciosas en primer lugar.

Las mejores prácticas incluyen:

    1. Descargar de fuentes confiables: Instale únicamente extensiones de las tiendas oficiales de extensiones del navegador, como Chrome Web Store para Google Chrome o el sitio de complementos de Firefox para Mozilla Firefox.
    2. Ver cuándo se actualizó por última vez la extensión: Las actualizaciones periódicas suelen ser un indicador de un desarrollador responsable que aborda las vulnerabilidades y garantiza la compatibilidad con las últimas versiones del navegador. Las extensiones obsoletas pueden carecer de parches de seguridad críticos y pueden representar un mayor riesgo de explotación.
    3. Revise la Sección de Prácticas de Privacidad y el sitio web de la Extensión: Las extensiones legítimas suelen proporcionar políticas de privacidad claras y concisas que detallan cómo se recopilan, utilizan y protegen los datos del usuario. Cualquier falta de dicha información o políticas vagas pueden ser señales de alerta, lo que sugiere un posible uso indebido de los datos de los usuarios.
    4. Investiga la extensión: Las extensiones con una gran cantidad de descargas totales, críticas positivas y calificaciones altas tienen más probabilidades de ser legítimas y seguras de usar. Tenga cuidado con las extensiones con una participación mínima del usuario, pocas reseñas o calificaciones bajas, ya que su confiabilidad podría ser cuestionable.
    5. Verificar permisos: tenga cuidado si una extensión solicita permisos innecesarios o excesivos que parecen no tener relación con su funcionalidad.
    6. Usar software de seguridad: Instale software antivirus y antimalware confiable que pueda ayudar a detectar y prevenir extensiones maliciosas.
    7. Sea escéptico: Si la oferta de una extensión parece demasiado buena para ser verdad o afirma ofrecer contenido ilegal de forma gratuita, es probable que sea maliciosa.
    8. Revisar periódicamente las extensiones: revise las extensiones que ha instalado y elimine las que ya no utilice o que sospeche que puedan ser maliciosas.
    9. Utilice una plataforma de seguridad del navegador: Una plataforma de seguridad del navegador como LayerX escaneará los navegadores de su fuerza laboral para descubrir extensiones maliciosas instaladas que deben eliminarse. Además, analizará el comportamiento de las extensiones de navegador existentes para evitar que accedan a datos confidenciales del navegador. Finalmente, la plataforma impedirá que los adversarios obtengan acceso a la amplia gama de datos de credenciales almacenados en su navegador, para evitar la elusión de MFA y una posible apropiación de cuentas.

Para obtener más detalles sobre cada estrategia de mitigación, leer el informe completo.

Sus próximos pasos

Las extensiones maliciosas son una preocupación creciente para las organizaciones, debido a su uso generalizado, aunque con capacidades de monitoreo limitadas. Las extensiones de navegador maliciosas pueden recopilar datos confidenciales y permitir que los adversarios se infiltren en las organizaciones, poniendo en riesgo a toda la organización.

Al practicar diligencia y emplear prácticas de seguridad avanzadas, la organización puede protegerse de este popular vector de ataque. Para probar LayerX, la plataforma de seguridad del navegador que va más allá de la pila existente y puede identificar y bloquear la actividad de extensiones maliciosas. haga clic aquí.