Se ha identificado una campaña de ciberseguridad a gran escala que utiliza extensiones de navegador maliciosas (add-ons) troyanizadas que se promocionan fraudulentamente como herramientas legítimas de optimización o integración para ChatGPT. Actores de amenazas están desplegando estos complementos en tiendas oficiales (como Chrome Web Store) con el objetivo de secuestrar cuentas de redes sociales, robar cookies de sesión corporativas e interceptar credenciales financieras directamente desde el navegador de la víctima.
Veredicto Analítico
- Estado: Confirmado (Campañas de distribución activa y remoción de extensiones en curso por parte de los proveedores).
- Confianza: Alta (Basado en la telemetría de empresas de detección de fraude digital y reportes de seguridad en navegadores).
- Riesgo para SOC TDIR: Alto. Las extensiones de navegador maliciosas operan dentro del contexto de confianza del navegador del usuario. Esto les permite eludir las protecciones perimetrales y de red tradicionales, capturando datos cifrados antes de que se envíen o justo después de ser desencriptados en la interfaz de usuario.
- Urgencia operativa: Alta. Es necesario realizar auditorías inmediatas sobre el inventario de complementos instalados en los navegadores de los endpoints de la organización para identificar y remover estas variantes.
- Base del veredicto: El abuso continuo del auge y el interés masivo en herramientas de Inteligencia Artificial como gancho de ingeniería social para camuflar malware de tipo Infostealer.
Hallazgos Clave
- Mecanismo de Distribución: Uso de técnicas de posicionamiento SEO malicioso y anuncios patrocinados falsos (Malvertising) en motores de búsqueda que imitan páginas oficiales de OpenAI, redirigiendo a los usuarios a instalar extensiones de Chrome o Edge supuestamente diseñadas para mejorar la productividad con ChatGPT.
- Funcionalidad Oculta (Payload): Una vez instaladas, las extensiones ejecutan scripts de JavaScript en segundo plano de manera silenciosa sin alterar el funcionamiento visual de la interfaz de ChatGPT que el usuario espera ver.
- Objetivo de Robo Emblema: Robo automatizado de cookies de sesión activa de plataformas de alto valor (como cuentas publicitarias de Facebook/Meta Business, portales de Google y accesos institucionales) para ser vendidas a Corredores de Acceso Inicial (IABs).
Análisis Técnico
- Vector de Ataque y Acceso Inicial: El usuario instala voluntariamente el add-on debido al engaño de ingeniería social. Durante la instalación, la extensión solicita permisos amplios como “tabs”, “storage” o “declarativeNetRequest”. Al concederlos, el script malicioso obtiene la capacidad de leer y modificar el Document Object Model (DOM) de todas las páginas web que el usuario visite posteriormente.
TTPs (MITRE ATT&CK):
- Acceso Inicial / Persistencia: Instalación de extensiones de navegador maliciosas (Browser Extensions).
- Recolección: Captura de credenciales y datos guardados en el navegador (Credentials from Web Browsers / Input Capture).
- Exfiltración: Envío de paquetes de cookies y datos robados a servidores de Comando y Control (C2) mediante peticiones HTTP/HTTPS estandarizadas (Exfiltration Over Web Service).
- Contexto de la Amenaza: Los atacantes se han percatado de que los usuarios suelen ser más permisivos al conceder privilegios a extensiones del navegador que al ejecutar archivos .exe convencionales. El camuflaje bajo la marca de ChatGPT les garantiza una tasa de éxito sumamente elevada debido a la adopción masiva y desregulada de la IA generativa en entornos corporativos.
Recomendaciones Operativas
Para Administradores de Sistemas / TI (Acción Inmediata)
- Implementar Listas Blancas de Extensiones: Configurar las directivas de grupo (GPO) o sistemas MDM (como Microsoft Intune o Jamf) para bloquear por defecto la instalación de cualquier extensión de navegador en la organización, permitiendo únicamente un listado explícito de complementos corporativos previamente auditados (Allowlist).
- Forzar Eliminación Centralizada: Utilizar las herramientas de administración de Google Chrome Enterprise o Microsoft Edge Management para auditar y remover de forma remota cualquier extensión que contenga palabras clave sospechosas o identificadores de extensiones que hayan sido dados de baja en las tiendas oficiales.
Para el SOC (Monitoreo y Detección)
- Monitoreo de Tráfico C2 anómalos: Configurar el proxy web o sistema de seguridad perimetral para detectar conexiones salientes repetitivas de endpoints hacia dominios de almacenamiento de datos temporales no habituales, que suelen ser los destinos de exfiltración de los infostealers.
- Detección de Cambios de Credenciales: Vigilar intentos sospechosos de inicios de sesión desde ubicaciones anómalas (viajes imposibles) utilizando cuentas corporativas, lo que podría indicar que un token de sesión interceptado por una extensión está siendo utilizado por un atacante externo.
Para CTI (Inteligencia de Amenazas)
- Actualización de Políticas de shadow IT: Integrar las herramientas de IA no autorizadas y sus extensiones satélite dentro del mapa de riesgos tecnológicos, suministrando al equipo de concientización ejemplos reales de cómo un add-on de productividad aparente puede comprometer por completo los accesos perimetrales de la red.
