Durante siete años, un actor de amenazas conocido como ShadyPanda logró convertir extensiones de navegador aparentemente inofensivas en una red global de espionaje digital. La campaña, revelada por Koi Security y difundida por The Hacker News, alcanzó más de 4,3 millones de instalaciones, apoyándose en extensiones que comenzaron como herramientas legítimas y que años después recibieron actualizaciones maliciosas.

Entre ellas Clean Master, una extensión destacada y que incluso llegó a estar verificada por Google en su momento, lo que permitió a los atacantes construir confianza antes de activar el comportamiento malicioso.

El cambio llegó a mediados de 2024, cuando cinco extensiones fueron modificadas para ejecutar a cada hora código remoto con acceso completo al navegador. Estas versiones maliciosas monitoreaban cada sitio visitado, exfiltraban el historial cifrado y recopilaban huellas digitales detalladas del navegador. Además, las extensiones fueron diseñadas para ocultar su comportamiento si el usuario intentaba abrir las herramientas de desarrollador, un truco habitual para evitar ser detectadas.

Koi Security también identificó otro grupo de cinco extensiones del mismo editor que recopilaban cada URL visitada, consultas de búsqueda y clics del mouse, enviando los datos a servidores ubicados en China. Solo la extensión WeTab acumuló alrededor de tres millones de instalaciones, aprovechando esa base masiva para ampliar el espionaje al tiempo que registraba cookies y comportamientos de navegación, como el tiempo dedicado a cada página.

Las primeras señales de problemas habían surgido en 2023, cuando desarrolladores publicaron más de un centenar de extensiones disfrazadas de herramientas de productividad y fondos de pantalla. Su propósito inicial era un fraude de afiliados en sitios como eBay o Amazon, pero en 2024 evolucionaron hacia un control activo del navegador, incluyendo redirecciones de búsquedas y exfiltración de cookies.

Según Koi, el punto débil fue el mecanismo de autoactualización de los navegadores, que permitió que Chrome y Edge distribuyeran las actualizaciones maliciosas sin interacción del usuario. Como señaló la firma, las tiendas de extensiones revisan lo que se sube, pero “no ven lo que ocurre después”.

Recomendaciones para protegerse de ataques a través de extensiones

Las extensiones de navegadores pueden ser muy útiles, pero es necesario instalarlas con discreción y tener algunos recaudos para evitar caer en este tipo de campañas:

• Revisar las extensiones instaladas regularmente y eliminar las que no resulten familiares o que ya no se usen. Nunca sabemos cuándo esas extensiones pueden recibir actualizaciones maliciosas.

• Verificar el editor o desarrollador: si no parece confiable, tiene pocas reseñas o un historial dudoso, mejor evitarlo. También se puede buscar más información por fuera de la tienda de extensiones para obtener más referencias.

• Controlar los permisos: una extensión de fondos de pantalla no debería pedir acceso completo al navegador. Y así con muchos casos más. Los permisos deben ser coherentes con la supuesta funcionalidad de la extensión

• Evitar instalar extensiones poco conocidas o de desarrolladores con múltiples apps y extensiones sospechosamente similares.

• Mantener actualizado el navegador: las actualizaciones pueden incluir parches de seguridad importantes.

• No ignorar comportamientos extraños: redirecciones inesperadas o cambios en el motor de búsqueda pueden ser señales de comportamiento malicioso.

• En entornos empresariales: usar listas de permitidos/bloqueados para controlar qué extensiones pueden instalarse.