Investigadores Descubren Extensiones de Chrome Sofisticadas: Fraude de Afiliados y Robo de Credenciales de ChatGPT

Investigadores Descubren Extensiones de Chrome Sofisticadas: Fraude de Afiliados y Robo de Credenciales de ChatGPT

En un desarrollo significativo para la seguridad del navegador, investigadores de ciberseguridad han desenterrado una nueva ola de extensiones maliciosas de Google Chrome que exhiben una sofisticada doble amenaza: el secuestro subrepticio de enlaces de afiliados y el robo directo de tokens de autenticación de OpenAI ChatGPT. Este descubrimiento destaca las tácticas en evolución de los actores de amenazas que aprovechan el ecosistema de extensiones de navegador de confianza tanto para obtener ganancias financieras como para el acceso no autorizado a valiosos servicios de IA.

La Doble Amenaza: Secuestro de Enlaces de Afiliados y Exfiltración de Datos

Un ejemplo prominente identificado es una extensión que se hace pasar por un "Amazon Ads Blocker" (ID: pnpchphmplpdimbllknjoiopmfphellj). Aunque pretende ofrecer una experiencia de navegación más limpia en Amazon eliminando el contenido patrocinado, su verdadera intención es mucho más nefasta. Tras la instalación, estas extensiones obtienen amplios permisos, lo que les permite monitorear la actividad de navegación del usuario. Cuando un usuario navega a un sitio de comercio electrónico o hace clic en un enlace de producto que normalmente generaría una comisión de afiliado para un referente legítimo, la extensión maliciosa intercepta esta solicitud. Luego, reescribe la URL, reemplazando la ID de afiliado legítima por la suya propia. Esta redirección asegura que cualquier compra posterior atribuya la comisión al atacante, desviando efectivamente los ingresos de los afiliados y editores legítimos.

Más allá del simple secuestro de enlaces, estas extensiones están diseñadas para una exfiltración de datos más amplia. Los investigadores encontraron capacidades para recopilar una amplia gama de datos de usuario, incluido el historial de navegación, las consultas de búsqueda y, potencialmente, incluso la entrada de formularios. Esta información robada se puede utilizar para publicidad dirigida, campañas de phishing o venderse en mercados de la dark web, comprometiendo aún más la privacidad y seguridad del usuario. El incentivo financiero detrás del fraude de afiliados es sustancial, lo que lo convierte en una vía lucrativa para los atacantes, especialmente cuando se escala a un gran número de usuarios desprevenidos.

Robo de Credenciales de ChatGPT: Una Puerta de Entrada al Abuso de la IA

Quizás el aspecto más alarmante de este descubrimiento es la capacidad de las extensiones para robar tokens de autenticación de OpenAI ChatGPT. Con la creciente popularidad de los servicios de IA, particularmente ChatGPT, el acceso a las cuentas de usuario se ha convertido en un objetivo principal para los actores maliciosos. Estas extensiones explotan el hecho de que, una vez que un usuario inicia sesión en ChatGPT, se almacena un token de sesión en el navegador. Al aprovechar sus amplios permisos, las extensiones pueden acceder a estos tokens y exfiltrarlos a servidores controlados por el atacante.

La posesión del token de autenticación de ChatGPT de un usuario otorga a los atacantes acceso no autorizado a su cuenta. Esto puede llevar a varias consecuencias graves:

• Acceso No Autorizado: Los atacantes pueden interactuar con ChatGPT como el usuario legítimo, viendo conversaciones pasadas, generando nuevo contenido y potencialmente accediendo a información sensible compartida en chats anteriores.
• Abuso de API: Si el usuario tiene acceso a la API de OpenAI, los atacantes podrían aprovechar los tokens robados para realizar llamadas a la API no autorizadas, incurriendo en costos para la víctima o utilizando la API para sus propios fines maliciosos (por ejemplo, generar spam, crear correos electrónicos de phishing o desarrollar malware).
• Fuga de Datos: Los datos sensibles discutidos previamente con ChatGPT podrían ser accedidos y exfiltrados.
• Suplantación de Identidad e Ingeniería Social: La capacidad de generar contenido de IA desde una cuenta comprometida puede utilizarse para ataques sofisticados de ingeniería social, aprovechando las interacciones pasadas del usuario para crear contenido malicioso altamente convincente.

Modus Operandi Técnico y Exfiltración de Datos

Las extensiones maliciosas suelen operar inyectando JavaScript en las páginas web visitadas o utilizando scripts en segundo plano para monitorear las solicitudes de red. A menudo emplean técnicas de ofuscación para ocultar sus verdaderas intenciones dentro de su código, lo que dificulta la detección para las herramientas de escaneo automatizadas y el análisis manual. La exfiltración de datos robados, incluidos los detalles de afiliados y los tokens de ChatGPT, ocurre de forma encubierta a servidores de comando y control (C2) controlados por el atacante. Si bien la infraestructura C2 sofisticada es común, los actores de amenazas a veces emplean una variedad de métodos para la recopilación y el seguimiento de datos. Por ejemplo, el seguimiento básico de direcciones IP o la actividad del usuario podría incluso aprovechar servicios simples, de manera similar a cómo iplogger.org puede usarse para registrar direcciones IP y agentes de usuario, aunque generalmente se emplean mecanismos más avanzados para la exfiltración de credenciales sensibles.

Las extensiones aprovechan las API legítimas del navegador, como chrome.webRequest para interceptar y modificar solicitudes de red, y chrome.cookies o el acceso al almacenamiento local para el robo de tokens. Su capacidad para permanecer indetectadas durante períodos resalta un desafío continuo en el ecosistema de extensiones del navegador, donde debe lograrse un equilibrio entre funcionalidad y seguridad.

Impacto y Estrategias de Mitigación

El impacto de tales extensiones maliciosas es multifacético. Los usuarios se enfrentan a pérdidas financieras debido al fraude de afiliados, importantes violaciones de la privacidad por la exfiltración de datos y una posible compromiso de cuenta para sus servicios de IA. Para las empresas, la integridad de sus programas de afiliados se ve socavada y la confianza general en las extensiones del navegador se erosiona.

Para mitigar estas amenazas, tanto los usuarios individuales como las organizaciones deben adoptar medidas de seguridad proactivas:

• Tener Precaución con las Instalaciones: Instale extensiones solo de desarrolladores de buena reputación y evalúe críticamente su necesidad.
• Examinar los Permisos: Antes de instalar, revise cuidadosamente los permisos que solicita una extensión. Si un "Amazon Ads Blocker" solicita acceso amplio para "leer y cambiar todos sus datos en todos los sitios web", debería levantar una importante bandera roja.
• Auditorías Regulares: Revise periódicamente sus extensiones instaladas y elimine cualquiera que ya no sea necesaria o parezca sospechosa.
• Mantener el Software Actualizado: Asegúrese de que su navegador Chrome y su sistema operativo estén siempre actualizados para beneficiarse de los últimos parches de seguridad.
• Usar Software de Seguridad: Emplee soluciones robustas de antivirus y anti-malware que puedan detectar y bloquear la actividad maliciosa del navegador.
• Habilitar la Autenticación Multifactor (MFA): Para cuentas críticas como OpenAI, habilite la MFA siempre que sea posible. Si bien la MFA no previene el robo de tokens, agrega una capa crucial de defensa contra intentos de inicio de sesión no autorizados utilizando credenciales robadas.
• Monitorear Cuentas: Revise regularmente los registros de actividad de sus cuentas en línea, especialmente aquellas relacionadas con servicios de IA o comercio electrónico.

Conclusión

El descubrimiento de extensiones de Chrome que utilizan tanto el secuestro de enlaces de afiliados como el robo de tokens de ChatGPT subraya el panorama de amenazas persistente y en evolución dentro del ecosistema del navegador. A medida que los servicios de IA se integran más en los flujos de trabajo diarios, el valor del acceso a estas plataformas solo aumentará, convirtiéndolas en objetivos principales para los ciberdelincuentes. La vigilancia, la toma de decisiones informadas con respecto a las instalaciones de software y la adhesión a las mejores prácticas de seguridad son primordiales para defenderse contra estos ataques sofisticados.