Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Extensión de Chrome con 1,6 millones de usuarios robaba datos en secreto


La extensión de navegador ModHeader, utilizada por aproximadamente 1,6 millones de personas en Chrome y Microsoft Edge, ha sido eliminada de la Chrome Web Store. Esta medida se tomó después de que investigadores descubrieran que la herramienta incluía una función inactiva capaz de recopilar, cifrar y potencialmente filtrar los datos de los dominios navegados por los usuarios.





ModHeader, una extensión de navegador muy utilizada, ha sido eliminada de la Chrome Web Store después de que investigadores descubrieran que su versión firmada contenía una capacidad latente para recopilar, cifrar y potencialmente subir datos de los dominios de navegación de los usuarios.

Según los informes, la extensión tenía alrededor de 1,6 millones de instalaciones combinadas entre Chrome y Microsoft Edge. ModHeader es una utilidad legítima para desarrolladores destinada a modificar las cabeceras de solicitud y respuesta HTTP.

Se espera que tenga permisos amplios para cumplir esa función. Sin embargo, estos también le otorgan la capacidad de interactuar con el tráfico y las páginas de todos los sitios web que visites.

Los investigadores que analizaron la versión 7.0.18 de ModHeader identificaron código para un canal de recopilación de historial de navegación dentro del trabajador de servicio en segundo plano de la extensión.

La lógica estaba diseñada para extraer dominios de las URL visitadas, cifrarlos con una clave AES-GCM embebida y almacenar los registros cifrados en IndexedDB.

Extensión de Chrome para la exfiltración de datos de usuarios

El canal utilizaba dos almacenes de datos locales: un almacén de configuración para una huella de instalación persistente, un vector de inicialización de cifrado y datos de temporización de subida, y un almacén temporal para los registros de dominios cifrados y contadores de visitas.

Se informó que la implementación estaba configurada para retener hasta 1.000 dominios distintos antes de forzar una subida. El código también incluía una rutina de salida POST dirigida a https://api.stanfordstudies.com/app/log.

Según el análisis de StripeOlt, la carga útil contenía datos de navegación cifrados, información de la huella digital del dispositivo y detalles del navegador.

El cargador fue diseñado para reintentar las solicitudes fallidas y borrar los datos de dominios almacenados localmente tras una transmisión exitosa, reduciendo así la evidencia forense disponible.

Sin embargo, los investigadores subrayaron una distinción importante: la función de recopilación de historial en la versión analizada estaba restringida por una lista de permitidos vacía.

Dado que no se incluyó ningún identificador de navegador en esa lista, la ruta de recopilación y subida no se ejecutó en esa versión.

La preocupación es que el marco completo de recopilación, cifrado, almacenamiento, programación y transmisión ya estaba implementado y podría activarse mediante una actualización rutinaria de la extensión sin necesidad de solicitar nuevos permisos.

La extensión también contenía una funcionalidad de telemetría activa vinculada a extensions-hub.com, informando sobre eventos de instalación, actualización y desinstalación.

Este seguimiento es independiente de la capacidad latente de subida del historial de navegación. No obstante, demuestra que la extensión ya se estaba comunicando con una infraestructura de terceros.

Según se informa, Google y Microsoft han retirado ModHeader de sus respectivas tiendas de extensiones; la eliminación de Microsoft ocurrió el 3 de julio y posteriormente Google marcó la extensión como malware.

Si gestionas una organización, deberías buscar el ID de extensión idgpnmonknjnojddfkpgkljpfnnfcklj, bloquear o monitorizar stanfordstudies.com y extensions-hub.com, y eliminar la extensión de los entornos de navegador gestionados.

Si confiaste en ModHeader para realizar pruebas de API, también deberías revisar y rotar los valores sensibles colocados anteriormente en cabeceras personalizadas, incluyendo claves de API, tokens de autorización y cookies de sesión.

Investigadores de aydinnyunus.github señalaron que el incidente expone un problema persistente en la cadena de suministro de los navegadores: aunque las firmas de la Chrome Web Store confirman el origen de una extensión, no garantizan que cada capacidad introducida en actualizaciones posteriores sea segura.

Las extensiones con permisos elevados deberían gestionarse como software de terceros, con listas de permitidos, monitorización de inventario y revisiones conductuales periódicas.

Indicadores de Compromiso

TipoIndicadorContexto
ID de ExtensiónidgpnmonknjnojddfkpgkljpfnnfckljModHeader
Versión7.0.18Versión afectada
URL de Exfiltraciónhttps://api.stanfordstudies.com/app/logPresunta subida de datos
Dominio de Telemetríaextensions-hub.comSeguimiento de instalación/actualización
Dominio de Recopilación de Datosstanfordstudies.comInfraestructura sospechosa
IP Compartida3.147.61.167IP de AWS asociada
Almacenes IndexedDBsettings, tempAlmacenamiento de datos local
Service Workerassets/src/background-94ad634d.jsLógica de recopilación
Marcador Estáticomod盐headerCadena embebida
Cadena de Autormodhader@Artefacto del manifiesto
Clave AES-GCMaWfU3yG_wksZaQdSnxPJBOId0cAN8KK/UIlZbli7-bEClave de cifrado embebida

Nota: Las direcciones IP y los dominios han sido "desactivados" intencionadamente (por ejemplo, [.]) para evitar resoluciones o hipervínculos accidentales. Actívalos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.



Fuentes:
https://cybersecuritynews.com/chrome-extension-used-million-users-data-exfiltration/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.