
Un caso reciente en el ecosistema de extensiones para navegadores ha puesto de manifiesto una amenaza compleja: una versión de ModHeader, una extensión conocida para Chrome y Edge, fue encontrada con un SDK espía oculto que exfiltra dominios visitados a un servidor de propiedad china y se comporta como adware. Este hallazgo subraya que la eliminación de la extensión de las tiendas no basta para garantizar la seguridad de los dispositivos ya afectados, y solicita a los defensores de seguridad que identifiquen y remuevan las instalaciones existentes.
Resumen del incidente
– La versión v7.0.18 de ModHeader llevaba consigo un SDK espía oculto. El investigador Stripe OLT documentó que este spyware recolecta los dominios visitados por el usuario, cifra los datos con AES-GCP y los envía diariamente a un servidor remoto.
– Aunque el recolector de datos estaba inactivo por defecto, el código necesario, la clave de cifrado y el programa de actualización ya estaban incrustados en la extensión.
– La extensión funcionaba también como adware, mostrando anuncios y abriendo pestañas publicitarias durante actualizaciones, incluso en dispositivos gestionados por políticas corporativas.
Implicaciones y atribuciones
– Aunque no se detectó una funcionalidad de comando y control (C2) que permitiera al servidor recibir instrucciones o comunicarse de regreso, sí hubo exfiltración de datos sensibles a un dominio remoto.
– Los investigadores señalan indicios de un posible actor dirigido por grupos de habla china, con cadenas en chino y una localización en chino simplificado dentro del código. El dominio de exfiltración parece canalizar correos electrónicos a través de Lark, una práctica asociada a equipos chinos.
Contexto de la herramienta y su popularidad
– ModHeader es una extensión de navegador que permite modificar cabeceras HTTP para pruebas de API, depuración de aplicaciones y simulación de entornos. En el momento del hallazgo, contaba con aproximadamente 900,000 usuarios en Chrome y 700,000 en Edge, con más de 1.6 millones de descargas combinadas en ambas plataformas.
– La noticia fue difundida por Stripe OLT a través de un informe técnico, y medios especializados indicaron que tanto Google como Microsoft retiraron la extensión de sus repositorios (Chrome Web Store en junio de 2026 y Edge/otros repositorios poco después).
Advertencias para defensores y responsables de seguridad
– La retirada de la extensión de las tiendas no equivale a la mitigación completa de la amenaza. Los endpoints que ya tenían la extensión instalada pueden permanecer vulnerables si no se identifican y eliminan las instalaciones existentes.
– Se recomienda a las organizaciones y usuarios finales: realizar escaneos de dispositivos para detectar copias de ModHeader v7.0.18 y versiones afectadas, eliminar cualquier instancia de la extensión y revisar políticas de administración de extensiones en entornos corporativos.
– Emplear controles de EDR (detección y respuesta), buscar artefactos de exfiltración de datos (p. ej., patrones de cifrado AES-GCP o tráfico hacia dominios desconocidos) y revisar configuraciones de seguridad de navegadores para evitar la reaparición de extensiones no autorizadas.
Conclusión
Este episodio resalta la necesidad de una vigilancia continua en el ecosistema de extensiones de navegador y enfatiza que la seguridad no termina con la retirada de una extensión de las tiendas. La comunidad de seguridad debe priorizar la identificación de instalaciones existentes, la remoción completa y la implementación de medidas para evitar futuras infiltraciones aprovechando herramientas de desarrollo ampliamente utilizadas.
from Latest from TechRadar https://ift.tt/4qbJt1T
via IFTTT IA