– FREEPIK. – Archivo
MADRID, 14 Abr. (CIBERPRO) –
La firma de seguridad Socket ha detectado un total de 108 extensiones maliciosas en el navegador Chrome que roban información de Google y Telegram de sus usuarios, permitiendo además ataques de tipo ‘prompt injection’.
Socket ha detallado que las extensiones están registradas bajo cinco nombres de editor diferentes: Yana Project, GameGen, SideGames, Rodeo Games e InterAlt, y han acumulado alrededor de 20.000 instalaciones en la tienda de Chrome.
Las 108 extensiones en cuestión están disponibles, por el momento, como complementos para Telegram, TikTok o YouTube, así como herramientas para traducir textos o juegos de azar. En particular, Socket ha subrayado en su blog la gravedad de una extensión de Telegram Web, que captura el token utilizado por la aplicación para autenticar la sesión, lo envía a un ‘script’ en segundo plano y lo redirige al servidor C2.
Es importante mencionar que todas las extensiones utilizan el mismo servidor ‘backend’, ubicado en 144[.]126[.]135[.]238, según ha informado la plataforma. Aún no se ha descubierto quién está detrás de estas amenazas, pero un análisis del código ha revelado comentarios en ruso en varios de los complementos.
Estas extensiones dañinas se han clasificado en diversas categorías, según las aplicaciones que afectan, destacando 54 extensiones que roban datos de cuentas de Google mediante OAuth2; una extensión que extrae sesiones de Telegram Web cada 15 segundos; otra extensión que incluye una infraestructura para robar sesiones de Telegram; dos extensiones que eliminan las protecciones de seguridad de YouTube e insertan anuncios; una extensión que desactiva la seguridad de TikTok para insertar anuncios; dos extensiones que inyectan ‘scripts’ de contenido en cada página visitada; una extensión que redirige todas las solicitudes de traducción; y 45 extensiones que abren URLs arbitrarias al iniciar el navegador.
Los usuarios pueden revisar el listado completo de extensiones identificadas por Socket para verificar si tienen algún complemento malicioso. Si es el caso, la plataforma aconseja eliminarlos de inmediato y cerrar sesión en Telegram Web desde su dispositivo móvil.
