La plataforma de seguridad Socket ha identificado un total de 108 extensiones maliciosas en el navegador Chrome que roban datos de Google y Telegram de las víctimas y permiten ataques del tipo 'prompt injection'.
Socket ha indicado que las extensiones están publicadas bajo cinco identidades de editor distintas: Yana Project, GameGen, SideGames, Rodeo Games e InterAlt, y han acumulado cerca de 20.000 instalaciones en la tienda de Chrome.
Las 108 extensiones identificadas están disponibles, por el momento, como complementos para Telegram, TikTok o YouTube, así como herramientas de traducción de textos o juegos de tragaperras. Concretamente, Socket ha destacado en su blog la gravedad de una extensión de Telegram Web, que extrae el token que usa la aplicación para autenticar la sesión, lo envía a un 'script' en segundo plano y se reenvía al servidor C2.
Precisamente, todas las extensiones comparten el mismo servidor 'backend', alojado en 144[.]126[.]135[.]238, como ha señalado la plataforma. No se conoce aún quién hay detrás de estas amenazas, pero un análisis del código fuente ha encontrado comentarios en ruso en varios complementos.
Estas extensiones maliciosas se han categorizado en varias secciones, en función de las aplicaciones afectadas, de forma que hay 54 extensiones que roban datos de las cuentas de Google a través de OAuth2; una extensión que extrae sesiones de Telegram Web cada 15 segundos; otra extensión que incluye infraestructura para el robo de sesiones de Telegram; dos extensiones que eliminan las barreras de seguridad de YouTube e insertan anuncios; una extensión que elimina la seguridad de TikTok para insertar anuncios; dos extensiones que inyectan 'scripts' de contenido en cada página visitada; una extensión que reenvía todas las solicitudes de traducción; y 45 extensiones que abren URL arbitrarias al iniciar el navegador.
Los usuarios pueden consultar el listado completo de extensiones identificadas por Socket para comprobar si efectivamente tienen algún complemento malicioso. En el caso de que sea así, la plataforma recomienda elimninarlos de inmediato, así como cerrar la sesión de Telegram Web desde el móvil.