Una campaña de malware de Chrome recientemente analizada utilizó una extensión de navegador fraudulenta y un host de mensajería nativo para convertir los sistemas Windows infectados en puertas traseras de comando remoto.
La campaña, detallada en unAnálisis D3Lab, comenzó con correos electrónicos de phishing de facturas en italiano. A las víctimas se les mostró lo que parecía una factura en PDF, pero el archivo descargado era en realidad una carga útil de JavaScript ofuscada llamada Fattura-2819889242.pfd.js.
El ataque no se basó en un día cero público de Chrome. En cambio, abusó de las funciones legítimas del navegador y de Windows, incluidas las políticas de extensión de Chrome, la carga lateral de DLL, PowerShell yMensajería nativa de Chrome.
Cómo funcionó el malware de la extensión de Chrome
Una vez que la víctima ejecutó el archivo JavaScript, Windows Script Host decodificó la carga útil y colocó dos archivos en una carpeta temporal. Uno era client_124578.exe, un ejecutable firmado asociado con Epic Games. El otro era un archivo malicioso d3d11.dll.
El ejecutable firmado cargó la DLL maliciosa mediante la carga lateral de la DLL. Esta técnica permite a los atacantes colocar una biblioteca fraudulenta junto a una aplicación confiable, de modo que la aplicación confiable cargue el archivo controlado por el atacante durante el inicio.
Luego, la DLL inició un proceso oculto de PowerShell. A partir de ahí, el malware preparó una extensión de Chrome llamada Cloud vn105rkj64 y cambió la configuración de la política local de Chrome para que la extensión pareciera una instalación aprobada por el administrador.
| Escenario | Qué pasó | Por qué es importante |
|---|---|---|
| Phishing | El correo electrónico de factura italiano entregó una descarga de PDF falsa | La carga útil utilizó un nombre de archivo engañoso .pfd.js para imitar un documento. |
| Ejecución | Windows Script Host ejecutó JavaScript ofuscado | El script eliminó los archivos necesarios para la siguiente etapa. |
| carga lateral | Un ejecutable firmado cargó un d3d11.dll malicioso | El ataque se mezcló con la actividad normal de Windows. |
| Abuso de la política de Chrome | La extensión se agregó a través de claves de política. | La instalación parecía administrada en lugar de dirigida por el usuario. |
| comando remoto | La mensajería nativa conectó Chrome a un host local | Los atacantes podrían ejecutar comandos de PowerShell en Windows |
Por qué la mensajería nativa hizo que el ataque fuera más peligroso
Las extensiones de Chrome pueden leer datos del navegador cuando se les conceden los permisos adecuados, pero normalmente no pueden iniciar programas arbitrarios de Windows. Esa restricción ayuda a evitar que un navegador comprometido se convierta en un compromiso completo del sistema operativo.
de googleReglas del host de mensajería nativacrear una excepción legítima para las aplicaciones locales aprobadas. Un host nativo registrado permite que una extensión intercambie mensajes con un programa local a través de entrada y salida estándar.
En esta campaña, los atacantes registraron un host de mensajería nativo llamado com.vn105rkj64.tr7qprrt7g. La extensión maliciosa de Chrome utilizó ese puente para enviar comandos fuera del entorno limitado del navegador, mientras que el host nativo ejecutaba acciones en Windows con los privilegios del usuario actual.
Los atacantes también abusaron de las políticas empresariales de Chrome.
El malware escribió valores en las claves de política ExtensionInstallAllowlist y ExtensionInstallSources de Chrome. Estas configuraciones normalmente ayudan a los equipos de TI a controlar qué extensiones pueden ejecutarse en los dispositivos administrados.
propio de GoogleConfiguración de la política de extensión de Chromemuestre cómo los administradores pueden administrar reglas de aplicaciones y extensiones en Windows. En este caso, los atacantes utilizaron la misma ruta de administración para hacer que la extensión fraudulenta pareciera legítima.
El ID de extensión observado en la campaña fue gghagmhimhgfeajfdmjkgmmehbokmglg. La fuente de instalación también utilizó un patrón de URL local, que los defensores deberían tratar como sospechoso en dispositivos que se supone que no deben recibir extensiones de Chrome administradas localmente.
- Nombre de extensión maliciosa: Cloud vn105rkj64
- Host de mensajería nativo: com.vn105rkj64.tr7qprrt7g
- Dominio de comando y control observado: ext2[.]info
- Ruta de solicitud observada: /time.php?q=ste_jstest2
- Valor de política sospechoso: https://localhost:8080/*
¿Qué datos recopiló el malware?
ElInforme D3Labdijo que la extensión contactó a ext2[.]info a través de HTTPS mediante solicitudes POST. El primer intercambio observado incluyó una cookie de Google, pestañas abiertas, URL, configuración de idioma del navegador, detalles del agente de usuario y un identificador de víctima estable.
Una cookie autenticada robada puede ayudar a los atacantes a secuestrar una sesión web activa sin conocer la contraseña de la víctima. Eso hace que el robo de cookies sea especialmente peligroso para cuentas corporativas, cuentas de correo electrónico, paneles de control en la nube y paneles de administración.
Posteriormente, los atacantes enviaron un comando que enumeraba el contenido de la unidad C. El resultado volvió a través del mismo canal POST, confirmando que la configuración funcionó como una puerta trasera de comando remoto, no solo como un ladrón de datos del navegador.
Cómo los defensores pueden detectar la amenaza
Los equipos de seguridad no deben limitar la detección a actividades sospechosas de PowerShell. En esta campaña, Chrome manejó el canal de control del lado del navegador, mientras que Native Messaging Host manejó la ejecución de comandos del sistema operativo.
Los administradores deben revisar las entradas inesperadas en las claves de política empresarial de Chrome, especialmente en sistemas no administrados. de googlePolíticas de extensiones y aplicaciones de Chromeson útiles para confirmar qué configuraciones deben existir en las máquinas Windows administradas.
Los registros de mensajería nativa también deben compararse con el software aprobado. Los ID de extensión desconocidos, las rutas ejecutables en las que el usuario puede escribir, los nombres de host sospechosos y las entradas permitidas_origins inesperadas pueden indicar abuso.
| Artículo a inspeccionar | Signo sospechoso |
|---|---|
| Claves de política de Chrome | Entradas inesperadas de ExtensionInstallAllowlist o ExtensionInstallSources |
| Hosts de mensajería nativa | Nombres de host desconocidos en las ubicaciones de registro de HKCU |
| Extensiones de Chrome | ID de extensión desconocidas instaladas fuera del flujo normal de usuarios |
| Registros de PowerShell | Procesos ocultos iniciados poco después de la ejecución del script. |
| Actividad de red | POST tráfico a ext2[.]info o infraestructura relacionada |
Pasos de respuesta a incidentes
Es posible que eliminar la extensión por sí solo no limpie completamente un sistema infectado. El registro del host de mensajería nativa y los archivos del host local pueden mantener el puente en su lugar, incluso después de que desaparezca el componente visible del navegador.
Los equipos de respuesta deben eliminar la extensión maliciosa de Chrome, eliminar el registro del host de mensajería nativa, inspeccionar las carpetas temporales, revisar el historial de ejecución de PowerShell y comprobar si hay artefactos de carga lateral de DLL.
Las organizaciones también deben invalidar las sesiones de navegador expuestas y restablecer las credenciales de las cuentas afectadas. Cuando los atacantes roban cookies activas, es posible que el restablecimiento de contraseñas por sí solo no finalice cada sesión en vivo a menos que también se revoquen los tokens de sesión.
- Audite las claves de política de extensión de Chrome en los sistemas Windows afectados.
- Elimine las entradas desconocidas del registro de Native Messaging Host.
- Busque client_124578.exe y d3d11.dll en rutas temporales.
- Bloquee los indicadores de comando y control conocidos a nivel de punto final y de red.
- Revocar sesiones expuestas para Google y otras cuentas basadas en navegador.
Preguntas frecuentes
¿Qué hizo la extensión maliciosa de Chrome?
La extensión maliciosa de Chrome recopiló datos del navegador, se puso en contacto con un servidor de comando y control y utilizó un host de mensajería nativo para pasar comandos a Windows. Esto permitió a los atacantes ejecutar comandos de PowerShell fuera del entorno limitado de Chrome.
¿Fue esta una vulnerabilidad de día cero de Chrome?
No se identificó ningún día cero público de Chrome en la campaña reportada. Los atacantes abusaron de funciones legítimas, incluidas las políticas empresariales de Chrome y la mensajería nativa, después de engañar a la víctima para que ejecutara un archivo JavaScript malicioso.
¿Qué es un host de mensajería nativo en Chrome?
Un host de mensajería nativo es una aplicación local con la que una extensión de Chrome puede comunicarse cuando está registrada correctamente. El software legítimo puede usarlo para conectar funciones del navegador con aplicaciones de escritorio, pero los atacantes pueden abusar de él para unir Chrome y el sistema operativo.
¿Qué datos robó el malware?
Los datos confirmados incluían una cookie de Google, pestañas abiertas, URL, detalles del agente de usuario del navegador, configuración de idioma y un identificador de víctima estable. D3Lab no informó sobre el robo directo del almacén de contraseñas guardadas de Chrome.
¿Cómo pueden las organizaciones detectar este ataque?
Las organizaciones deben inspeccionar entradas inesperadas de políticas de Chrome, claves de registro desconocidas de Native Messaging Host, ID de extensiones sospechosas, actividad oculta de PowerShell, artefactos de carga lateral de DLL y tráfico de red hacia indicadores de comando y control conocidos, como ext2[.]info.