Autor | 23pds@SlowMist Equipo de seguridad

fondo

El 3 de junio de 2024, el usuario de Twitter @CryptoNakamao publicó sobre cómo le robaron $1 millón debido a la descarga de la extensión maliciosa de Chrome Aggr, lo que despertó a la mayoría de los usuarios de la comunidad criptográfica a prestar atención al riesgo de la extensión y preocuparse por la seguridad de sus criptoactivos. El 31 de mayo, el equipo de seguridad de SlowMist publicó el artículo Lobo con piel de oveja | Análisis del robo de extensiones falsas de Chrome, que proporcionó un análisis detallado de los métodos malvados de la extensión maliciosa Aggr. En vista de la falta de conocimiento previo sobre las extensiones de navegador entre los usuarios, el Director de Seguridad de la Información de SlowMist, 23pds, explica el conocimiento básico y los riesgos potenciales de las extensiones a través de seis preguntas y seis respuestas en este artículo, y brinda sugerencias para lidiar con los riesgos de las extensiones, con la esperanza de ayudar a los usuarios individuales y las plataformas comerciales a mejorar la capacidad de proteger la seguridad de las cuentas y los activos.

(https://x.com/im23pds/status/1797528115897626708)

Preguntas y respuestas

1. ¿Qué son las extensiones de Chrome?

Chrome Extension es un complemento diseñado para Google Chrome que puede ampliar la funcionalidad y el comportamiento del navegador. Pueden personalizar la experiencia de navegación de un usuario, agregar nuevas funciones o contenido, o interactuar con el sitio web. Las extensiones de Chrome generalmente se crean a partir de HTML, CSS, JavaScript y otras tecnologías web.

La estructura de una extensión de Chrome suele constar de las siguientes partes:

  • Manifest.json: archivo de configuración de extensión, que define la información básica de la extensión (como nombre, versión, permisos, etc.).

  • Scripts en segundo plano: se ejecutan en segundo plano del navegador para manejar eventos y tareas a largo plazo.

  • Scripts de contenido: se ejecutan en el contexto de páginas web y pueden interactuar directamente con las páginas web.

  • Interfaz de usuario (UI): como botones de la barra de herramientas del navegador, ventanas emergentes, páginas de opciones, etc.

2. ¿Qué hacen las extensiones de Chrome?

  • Bloqueo de anuncios: la extensión bloquea y bloquea anuncios en páginas web, mejorando la velocidad de carga de la página web y la experiencia del usuario. Por ejemplo, AdBlock y uBlock Origin.

  • Privacidad y seguridad: algunas extensiones pueden mejorar la privacidad y seguridad del usuario, como impedir el seguimiento, cifrar las comunicaciones, gestionar contraseñas, etc. Por ejemplo, Privacy Badger y LastPass.

  • Herramientas de productividad: las extensiones pueden ayudar a los usuarios a mejorar la productividad, como administrar tareas, tomar notas, realizar un seguimiento del tiempo, etc. Por ejemplo, Todoist y Evernote Web Clipper.

  • Herramientas de desarrollador: proporciona herramientas de depuración y desarrollo para desarrolladores web, como ver la estructura de la página web, depurar código, analizar solicitudes de red, etc. Por ejemplo, React Developer Tools y Postman.

  • Redes sociales y comunicación: la extensión puede integrar redes sociales y herramientas de comunicación para facilitar a los usuarios el manejo de notificaciones, mensajes, etc. de las redes sociales mientras navegan por la web. Por ejemplo, Grammarly y Facebook Messenger.

  • Personalización de páginas web: los usuarios pueden personalizar la apariencia y el comportamiento de las páginas web a través de extensiones, como cambiar temas, reorganizar elementos de la página, agregar funciones adicionales, etc. Por ejemplo, Stylish y Tampermonkey.

  • Automatizar tareas: las extensiones pueden ayudar a los usuarios a automatizar tareas repetitivas, como completar formularios automáticamente, descargar archivos por lotes, etc. Por ejemplo, iMacros y DownThemAll.

  • Traducción de idiomas: algunas extensiones pueden traducir contenido web en tiempo real para ayudar a los usuarios a comprender las páginas web en diferentes idiomas, como Google Translate.

  • Asistencia con criptomonedas: las extensiones pueden ayudar a los usuarios a hacer que las transacciones con criptomonedas sean más convenientes, como MetaMask, etc.

La flexibilidad y diversidad de las extensiones de Chrome permiten que se apliquen a casi cualquier escenario de navegación, lo que ayuda a los usuarios a completar diversas tareas de manera más eficiente.

3. ¿Qué permisos tiene la extensión de Chrome una vez instalada?

Una vez instalada, una extensión de Chrome puede solicitar una serie de permisos para poder realizar funciones específicas. Estos permisos se declaran en el archivo manifest.json de la extensión y se solicita al usuario que confirme la instalación. Los permisos comunes incluyen:

  • : Permite que la extensión acceda al contenido de todos los sitios web. Este es un permiso amplio que permite a la extensión leer y modificar todos los datos del sitio web.

  • pestañas: permite que la extensión acceda a la información de las pestañas del navegador, incluida la obtención de pestañas abiertas actualmente, la creación y cierre de pestañas, etc.

  • activeTab: permite que la extensión acceda temporalmente a la pestaña actualmente activa, generalmente utilizada para realizar acciones específicas cuando el usuario hace clic en el botón de la extensión.

  • almacenamiento: permite que las extensiones utilicen la API de almacenamiento de Chrome para almacenar y recuperar datos. Esto se puede utilizar para guardar la configuración de la extensión, los datos del usuario, etc.

  • Cookies: Permite a la extensión acceder y modificar las cookies en el navegador.

  • webRequest y webRequestBlocking: permiten que las extensiones intercepten y modifiquen solicitudes de red. Estos permisos se utilizan normalmente para el bloqueo de anuncios y extensiones de protección de la privacidad.

  • marcadores: Permite a la extensión acceder y modificar los marcadores del navegador.

  • historial: Permite a la extensión acceder y modificar el historial del navegador.

  • Notificaciones: permite que la extensión muestre notificaciones de escritorio.

  • contextMenus: permite que las extensiones agreguen elementos de menú personalizados al menú contextual del navegador (menú contextual).

  • geolocalización: Permite que la extensión acceda a la información de geolocalización del usuario.

  • clipboardRead y clipboardWrite: permiten que las extensiones lean y escriban el contenido del portapapeles.

  • descargas: permite que la extensión administre las descargas, incluido iniciarlas, pausarlas y cancelarlas.

  • administración: permite que la extensión administre otras extensiones y aplicaciones del navegador.

  • en segundo plano: permite que las extensiones ejecuten tareas de larga duración en segundo plano.

  • Notificaciones: permite que la extensión muestre notificaciones del sistema.

  • webNavigation: Permite que las extensiones monitoreen y modifiquen el comportamiento de navegación del navegador.

Estos permisos permiten que las extensiones de Chrome realicen muchas funciones potentes y diversas, pero también significan que tienen el potencial de acceder a datos confidenciales del usuario, como cookies, información de autenticación, etc.

4. ¿Por qué las extensiones maliciosas de Chrome pueden robar los permisos de los usuarios?

Las extensiones maliciosas de Chrome pueden explotar los permisos solicitados para robar los permisos y la información de autenticación de un usuario porque estas extensiones tienen acceso directo y manipulación del entorno y los datos del navegador del usuario. Las razones y métodos específicos son los siguientes:

  • Acceso a permisos extensos: las extensiones maliciosas generalmente solicitan una gran cantidad de permisos, como acceder a todos los sitios web (), leer y modificar las pestañas del navegador (pestañas), acceder al almacenamiento del navegador (storage), etc. Estos permisos otorgan a la extensión maliciosa un amplio acceso a la actividad y los datos de navegación del usuario.

  • Manipular solicitudes de red: una extensión maliciosa puede utilizar los permisos webRequest y webRequestBlocking para interceptar y modificar solicitudes de red para robar información de autenticación del usuario y datos confidenciales. Por ejemplo, pueden interceptar datos de formularios y obtener nombres de usuario y contraseñas cuando los usuarios inician sesión en un sitio web.

  • Lectura y escritura del contenido de la página: a través de scripts de contenido, las extensiones maliciosas pueden incrustar código en las páginas web para leer y modificar el contenido de la página. Esto significa que pueden robar cualquier dato que un usuario ingrese en una página web, como información de formularios, consultas de búsqueda, etc.

  • Acceder al almacenamiento del navegador: una extensión maliciosa puede usar permisos de almacenamiento para acceder y almacenar los datos locales del usuario, incluido el almacenamiento del navegador (como LocalStorage e IndexedDB) que puede contener información confidencial.

  • Manipular el portapapeles: con los permisos clipboardRead y clipboardWrite, una extensión maliciosa puede leer y escribir el contenido del portapapeles del usuario, robando o alterando así la información copiada y pegada del usuario.

  • Disfrazarse de un sitio web legítimo: las extensiones maliciosas pueden disfrazarse de sitios web legítimos modificando el contenido del navegador o redirigiendo las páginas web visitadas por los usuarios e inducir a los usuarios a ingresar información confidencial.

  • Ejecución en segundo plano a largo plazo: las extensiones maliciosas con permisos en segundo plano pueden continuar ejecutándose en segundo plano, incluso si el usuario no las está usando activamente. Esto les permite monitorear las actividades de los usuarios durante largos períodos de tiempo y recopilar grandes cantidades de datos.

  • Descargas operativas: utilizando el permiso de descargas, una extensión maliciosa puede descargar y ejecutar archivos maliciosos, comprometiendo aún más la seguridad del sistema del usuario.

5. ¿Por qué a las víctimas de esta extensión maliciosa se les robaron los permisos y se comprometieron sus fondos?

Debido a que esta vez la extensión maliciosa Aggr acaba de obtener la información general de la que hablamos anteriormente, el siguiente es un fragmento del contenido de permisos del archivo manifests.json del complemento malicioso:

  • galletas

  • pestañas

  • almacenamiento

6. ¿Qué puede hacer una extensión maliciosa de Chrome después de robar las cookies de los usuarios?

  • Acceder a cuentas: las extensiones maliciosas pueden utilizar cookies robadas para simular que los usuarios inician sesión en cuentas de plataformas comerciales, accediendo así a la información de las cuentas de los usuarios, incluidos saldos, historial de transacciones, etc.

  • Realizar transacciones: las cookies robadas podrían permitir que una extensión maliciosa realice transacciones sin el consentimiento del usuario, compre o venda criptomonedas o incluso transfiera activos a otras cuentas.

  • Retirar fondos: si las cookies contienen información de sesión y tokens de autenticación, una extensión maliciosa podría eludir la autenticación de dos factores (2FA) e iniciar un retiro de fondos directamente, transfiriendo la criptomoneda del usuario a una billetera controlada por el atacante.

  • Acceder a información confidencial: las extensiones maliciosas pueden acceder y recopilar información confidencial en las cuentas de la plataforma comercial de los usuarios, como documentos de autenticación, direcciones, etc., que pueden usarse para un mayor robo de identidad o fraude.

  • Modificar la configuración de la cuenta: las extensiones maliciosas pueden cambiar la configuración de la cuenta del usuario, como direcciones de correo electrónico vinculadas, números de teléfono móvil, etc., para controlar aún más la cuenta y robar más información.

  • Hacerse pasar por usuarios para realizar ataques de ingeniería social: usar cuentas de usuario para realizar ataques de ingeniería social, como enviar información fraudulenta a los contactos del usuario para inducirlo a realizar operaciones inseguras o proporcionar información más confidencial.

Respuestas

Al ver esto, la mayoría de usuarios pueden estar pensando, ¿qué debo hacer, simplemente desconectarme de Internet y dejar de jugar? ¿Utiliza una computadora separada? ¿No necesitas una plataforma de inicio de sesión web? Hay muchos dichos sobre matar con un palo en Internet, pero de hecho podemos aprender cómo prevenir razonablemente tales riesgos:

Contramedidas para usuarios individuales:

  • Mejorar la conciencia de seguridad personal: La primera sugerencia de prevención es mejorar la conciencia de seguridad personal y mantener siempre una actitud escéptica.

  • Instale únicamente extensiones de fuentes confiables: instale extensiones de Chrome Web Store u otras fuentes confiables, y lea las reseñas de los usuarios y las solicitudes de permiso para tratar de no otorgar a las extensiones acceso innecesario.

  • Utilice un entorno de navegador seguro: evite instalar extensiones de fuentes desconocidas, revise y elimine periódicamente extensiones innecesarias, instale diferentes navegadores, aísle los navegadores de complementos y los navegadores de fondos de transacciones.

  • Verifique periódicamente las actividades de la cuenta: verifique periódicamente las actividades de inicio de sesión de la cuenta y los registros de transacciones, y tome medidas inmediatas si encuentra un comportamiento sospechoso.

  • Recuerde cerrar sesión: Recuerde cerrar sesión después de utilizar la plataforma operativa web. Por conveniencia, muchas personas no hacen clic para cerrar sesión después de iniciar sesión en la plataforma para completar la operación. Este hábito tiene riesgos de seguridad.

  • Use una billetera de hardware: para grandes cantidades de activos, use una billetera de hardware para almacenamiento para aumentar la seguridad.

  • Configuración del navegador y herramientas de seguridad: utilice extensiones y configuraciones seguras del navegador (como bloqueadores de anuncios y herramientas de privacidad) para reducir el riesgo de extensiones maliciosas.

  • Utilice software de seguridad: instale y utilice software de seguridad para detectar y evitar que extensiones maliciosas y otro malware hagan maldades.

Finalmente, hay sugerencias de control de riesgos para la plataforma. A través de estas medidas, la plataforma comercial puede reducir los riesgos de seguridad que representan para los usuarios las extensiones maliciosas de Chrome:

· Hacer cumplir el uso de autenticación de dos factores (2FA):

- Habilite 2FA globalmente: requiera que todos los usuarios habiliten la autenticación de dos factores (2FA) al iniciar sesión y realizar operaciones importantes (como operar, realizar pedidos, retirar fondos) para garantizar que incluso si las cookies de un usuario son robadas, los atacantes no puedan acceder fácilmente la cuenta.

- Múltiples métodos de verificación: admite múltiples métodos de verificación secundarios, como SMS, correo electrónico, Google Authenticator y tokens de hardware.

· Gestión de sesiones y seguridad:

- Administración de dispositivos: brinda a los usuarios la capacidad de ver y administrar dispositivos conectados, lo que les permite cerrar sesiones con dispositivos desconocidos en cualquier momento.

- Tiempo de espera de sesión: implemente una política de tiempo de espera de sesión para cerrar sesión automáticamente en las sesiones que han estado inactivas durante mucho tiempo para reducir el riesgo de robo de sesión.

- Monitoreo de dirección IP y geolocalización: detecta y alerta a los usuarios sobre intentos de inicio de sesión desde direcciones IP o geolocalizaciones inusuales, y bloquea estos inicios de sesión si es necesario.

· Fortalecer la configuración de seguridad de la cuenta:

- Notificaciones de seguridad: envíe instantáneamente notificaciones a los usuarios sobre operaciones importantes como inicio de sesión de cuenta, cambios de contraseña, retiros de fondos, etc. Se puede recordar a los usuarios sobre actividades anormales por correo electrónico o SMS.

- Función de congelación de cuentas: brinda a los usuarios la opción de congelar cuentas rápidamente en situaciones de emergencia para controlar el alcance del daño.

· Fortalecer los sistemas de seguimiento y control de riesgos:

- Detección de comportamiento anormal: utilice el aprendizaje automático y el análisis de big data para monitorear el comportamiento del usuario, identificar patrones de transacciones anormales y actividades de la cuenta, y realizar una intervención oportuna de control de riesgos.

- Advertencia de control de riesgos: proporcione alertas tempranas y restricciones sobre comportamientos sospechosos, como cambios frecuentes en la información de la cuenta, frecuentes intentos fallidos de inicio de sesión, etc.

· Proporcionar a los usuarios educación y herramientas de seguridad:

- Educación sobre seguridad: popularice el conocimiento sobre seguridad entre los usuarios a través de cuentas sociales oficiales, correos electrónicos, notificaciones en la plataforma y otros canales, y recuerde a los usuarios que presten atención a los riesgos de las extensiones del navegador y cómo proteger sus cuentas.

- Herramientas de seguridad: proporcione complementos o extensiones oficiales del navegador para ayudar a los usuarios a mejorar la seguridad de la cuenta, detectar y alertar a los usuarios sobre posibles amenazas a la seguridad.

Conclusión

Hablando francamente, desde una perspectiva técnica, a menudo tomar todas las medidas de control de riesgos mencionadas anteriormente puede no ser la mejor manera. La seguridad y el negocio deben estar equilibrados. Si la seguridad es demasiado importante, la experiencia del usuario será mala. Por ejemplo, se requiere autenticación secundaria al realizar pedidos. ¡Muchos usuarios simplemente la desactivan para realizar pedidos rápidamente! El resultado es que es conveniente para usted y para los piratas informáticos, porque una vez que se roban las cookies y las monedas no se pueden retirar, los piratas informáticos pueden jugar entre sí y causar daños a los activos de los usuarios. Por lo tanto, los métodos de control de riesgos son diferentes para diferentes plataformas y usuarios. En cuanto al equilibrio entre seguridad y negocios, diferentes plataformas tienen diferentes consideraciones. Esperamos que la plataforma pueda proteger la seguridad de las cuentas y los activos de los usuarios teniendo en cuenta la experiencia del usuario.