Investigadores de ciberseguridad han expuesto una operación de espionaje que utilizaba extensiones de navegador aparentemente legítimas para interceptar el tráfico de usuarios y robar contraseñas de más de 170 sitios web populares.
En un nuevo hallazgo que subraya los peligros del software de terceros en entornos corporativos y personales, se han identificado dos extensiones maliciosas para Google Chrome bajo el nombre “Phantom Shuttle”. Estas herramientas, que se promocionan como utilidades para medir la velocidad de red, esconden una sofisticada capacidad para actuar como “Man-in-the-Middle” (MitM) y exfiltrar datos sensibles.
El engaño: Un servicio “Premium” falso
Lo que hace particularmente peligrosa a esta campaña es su fachada de legitimidad. Las extensiones no son gratuitas; operan bajo un modelo de suscripción que cobra a los usuarios entre $1.40 y $13.50 USD. Al pagar, las víctimas creen estar adquiriendo un servicio VPN o de proxy de alta calidad para pruebas de red.
Sin embargo, según los investigadores, el pago activa el verdadero propósito del software. “El modelo de suscripción crea una retención de víctimas mientras genera ingresos, y la infraestructura profesional con integración de pagos presenta una fachada de legitimidad”, explican los expertos.
Cómo funciona el ataque
Una vez que el usuario paga y obtiene el estatus “VIP”, la extensión activa un modo oculto llamado “smarty”. A partir de ese momento, el software comienza a:
- Interceptar el tráfico: Utiliza scripts de configuración automática de proxy (PAC) para redirigir el tráfico web a través de servidores controlados por los atacantes.
- Inyección de credenciales: Modifica librerías de JavaScript ( jquery y scripts.js ) para inyectar automáticamente credenciales de proxy en cada solicitud de autenticación HTTP, sin que el usuario lo note.
- Robo de datos: Envía constantemente las credenciales del usuario, cookies de sesión y otros datos en texto plano a un servidor de Comando y Control (C2).
Objetivos de alto valor
El ataque no es aleatorio. Las extensiones están programadas para dirigir específicamente el tráfico de más de 170 dominios de alto valor, lo que sugiere un interés tanto en el robo de identidad personal como en el espionaje corporativo. La lista de objetivos incluye:
- Infraestructura y Desarrollo: Amazon Web Services (AWS), Microsoft Azure, Docker, GitHub, Stack Overflow.
- Empresas Tecnológicas: Cisco, IBM, VMware.
- Redes Sociales: Facebook, Instagram, Twitter (X).
- Sitios para Adultos: La inclusión de portales pornográficos sugiere, según los investigadores, una posible intención de chantaje o “sextorsión” hacia las víctimas.
Posible origen y atribución
Aunque la identidad exacta de los atacantes no ha sido confirmada, hay fuertes indicios de que apuntan a una operación con base en China. Los investigadores señalan el uso de servidores de Alibaba Cloud para alojar la infraestructura de comando y control, la integración de sistemas de pago como Alipay y WeChat Pay, y el uso del idioma chino en las descripciones originales de la extensión.
Recomendaciones
Las extensiones maliciosas identificadas son:
- Transbordador fantasma (ID: fbfldogmkadejddihifklefknmikncaj )
- Transbordador fantasma (ID: ocpcmfmiidofonkbodpdhgddhlcmcofd )
Se recomienda a cualquier usuario que tenga instaladas estas extensiones que las eliminación de inmediata y proceda a cambiar todas sus contraseñas, especialmente aquellas relacionadas con servicios en la nube, redes sociales y plataformas de desarrollo.
Para los equipos de seguridad empresarial, este incidente resalta la necesidad de auditar las extensiones de navegador instaladas en los equipos corporativos y restringir los permisos de instalación únicamente a software aprobado.
