Algunos de los complementos siguen activos en la tienda de Microsoft Edge
Una campaña de extensiones maliciosas de navegador que duró siete años infectó a 4.3 millones de usuarios de Google Chrome y Microsoft Edge con malware, incluyendo backdoors y spyware que enviaba datos personales a servidores en China. Según investigadores de Koi, cinco de las extensiones con más de 4 millones de instalaciones permanecían activas en el marketplace de Edge, aunque Microsoft afirma haber eliminado ya todas las identificadas como maliciosas tras ser advertidos.
Los atacantes, denominados ShadyPanda por Koi, jugaron a largo plazo: publicaron extensiones legítimas, acumularon miles o incluso millones de descargas durante varios años, y luego enviaron una actualización cargada de malware que se distribuyó automáticamente a toda la base de usuarios.
Una estrategia de infiltración sigilosa
Debido a que ambas tiendas de aplicaciones revisan las extensiones al momento de su envío —pero no de manera continua— estas herramientas de productividad aparentemente estelares, algunas con estatus de Featured y Verified, junto con reseñas positivas y altos conteos de instalación, pudieron rastrear el comportamiento de las personas y robar información sensible en silencio durante años.
“Sin phishing. Sin ingeniería social. Solo extensiones confiables con actualizaciones de versión silenciosas que convirtieron herramientas de productividad en plataformas de vigilancia”, escribió el equipo de cazadores de amenazas en un blog publicado el lunes.
Microsoft inicialmente no respondió a las solicitudes de comentarios de The Register. Más tarde, un portavoz aseguró que “hemos eliminado todas las extensiones identificadas como maliciosas en la tienda de complementos de Edge. Cuando nos enteramos de instancias que violan nuestras políticas, tomamos las acciones apropiadas, que incluyen la eliminación de contenido prohibido o la terminación del acuerdo de publicación”. Google, por su parte, confirmó que ninguna de las extensiones sigue disponible en Chrome Web Store y recalcó que revisa todas las actualizaciones sin importar su tamaño.
Múltiples fases de ataque
Koi rastreó la actividad de ShadyPanda en múltiples fases, y afirma que dos campañas siguen activas.
Una de ellas incluyó cinco extensiones que infectaron a 300,000 usuarios con un backdoor que permitía ejecución remota de código. Tres de las cinco fueron subidas entre 2018 y 2019 y alcanzaron el estatus de Featured y Verified. Una de ellas, Clean Master —publicada por Starlab Technology— supera las 200,000 instalaciones.
A mediados de 2024, tras acumular más de 300,000 descargas, ShadyPanda envió una actualización maliciosa que contenía un backdoor distribuido a través de estas cinco extensiones en Chrome y Edge. Aunque ya han sido retiradas, “la infraestructura para ataques a gran escala permanece desplegada en todos los navegadores infectados”, advierten los investigadores.
Capacidades del malware
El malware realizaba vigilancia completa del navegador, consultando cada hora api.extensionplay[.]com para recibir nuevas instrucciones, descargando JavaScript arbitrario y ejecutándolo con acceso completo a la API del navegador. También podía inyectar contenido malicioso en cualquier sitio, incluso conexiones HTTPS.
Clean Master recopilaba y enviaba datos sensibles a servidores controlados por ShadyPanda:
- Todas las URLs visitadas
- Referrers HTTP
- Marcas de tiempo
- Identificadores UUID4 persistentes
- Huellas digitales completas del navegador
Además, incorporaba mecanismos anti-análisis y dejaba de comportarse de manera maliciosa si detectaba herramientas de desarrollo abiertas.
Extensiones aún activas
Cinco extensiones adicionales del mismo editor se lanzaron en Edge alrededor de 2023 y acumulan más de cuatro millones de instalaciones combinadas. Según Koi, todas estaban activas en el marketplace de Edge en el momento de la investigación, y dos instalaban spyware en las máquinas de los usuarios. Microsoft asegura que ya han sido retiradas tras la notificación.
Una de ellas, WeTab —con tres millones de instalaciones— era esencialmente una plataforma de vigilancia disfrazada de herramienta de productividad, robando:
- Cada URL visitada
- Consultas de búsqueda
- Clics del mouse
- Fingerprinting completo
- Datos de interacción de página
- Acceso al almacenamiento
Toda esta información se enviaba en tiempo real a 17 dominios distintos, incluyendo múltiples servidores en China.
“Las extensiones ya tenían permisos peligrosos como acceso a todas las URLs y cookies. Los usuarios las estaban descargando en ese mismo momento”, señaló el equipo de Koi. “ShadyPanda podía enviar actualizaciones en cualquier momento, armando 4 millones de navegadores con el mismo framework de backdoor RCE o algo peor”.
Campañas anteriores identificadas
Koi también vinculó a ShadyPanda con campañas previas ya inactivas. Una de ellas, en 2023, incluyó 20 extensiones en Chrome Web Store y 125 en Microsoft Edge, disfrazadas de fondos de pantalla o herramientas de productividad. Monetizaban datos de navegación inyectando códigos afiliados en sitios como eBay, Amazon o Booking.com.
Otra campaña a principios de 2023 utilizaba una extensión llamada Infinity V+, que redirigía búsquedas a trovi.com, exfiltraba cookies y registraba pulsaciones de teclas.
Un problema sistémico
Para los investigadores, estas campañas reflejan una debilidad estructural en la forma en que las tiendas gestionan las extensiones: la revisión ocurre solo en el momento de la publicación. Esto permite que actores como ShadyPanda utilicen actualizaciones posteriores para transformar extensiones aparentemente benignas en mecanismos de vigilancia masiva.
