LayerX detecta extensiones maliciosas de Chrome que roban cuentas de ChatGPT
Publicado enAtaques

LayerX detecta extensiones maliciosas de Chrome que roban cuentas de ChatGPT

No hay comentarios

Descubrimiento de Extensiones Maliciosas en Chrome que Roban Cuentas de ChatGPT

Contexto del Descubrimiento

La empresa de ciberseguridad LayerX ha identificado un conjunto de extensiones maliciosas disponibles en la Chrome Web Store que están diseñadas específicamente para robar credenciales de acceso a ChatGPT. Estas extensiones, que superan las 100.000 instalaciones en total, se presentan como herramientas legítimas para mejorar la productividad con inteligencia artificial, pero en realidad capturan datos sensibles de usuarios. El análisis revela que los atacantes aprovechan la popularidad de ChatGPT para distribuir malware que extrae cookies de autenticación y tokens de sesión, permitiendo el acceso no autorizado a cuentas individuales y potencialmente a datos corporativos.

El descubrimiento se basa en un monitoreo proactivo de extensiones de navegador, donde LayerX utilizó técnicas de análisis dinámico y estático para detectar comportamientos anómalos. Las extensiones en cuestión incluyen nombres como “ChatGPT Enhancer” y “AI Productivity Booster”, que prometen funciones como resúmenes automáticos o integración con flujos de trabajo, pero incluyen código JavaScript malicioso que se ejecuta en segundo plano.

Mecanismos Técnicos de Robo de Credenciales

Estas extensiones operan mediante inyecciones de scripts que interceptan el tráfico de red y acceden al almacenamiento local del navegador. Una vez instaladas, solicitan permisos amplios, como acceso a todas las URLs de chat.openai.com y permisos para leer y modificar datos en páginas web. El proceso de robo se inicia cuando el usuario accede a ChatGPT, momento en el que el script malicioso extrae las cookies de sesión almacenadas en el navegador.

Desde un punto de vista técnico, el malware utiliza la API de Chrome para extensiones, específicamente chrome.cookies.getAll() y chrome.storage.local, para recopilar información. Las credenciales robadas, incluyendo el token JWT de autenticación, se envían a servidores controlados por los atacantes mediante solicitudes HTTP POST codificadas en base64. Un ejemplo simplificado del código malicioso podría involucrar:

  • Inyección de contenido: Un script de contenido (content script) se inyecta en la página de ChatGPT para monitorear eventos de autenticación.
  • Extracción de datos: Captura de localStorage y sessionStorage donde OpenAI almacena tokens temporales.
  • Exfiltración: Envío de datos a dominios como api.malicious-domain[.]com mediante fetch() o XMLHttpRequest, a menudo disfrazado como actualizaciones de la extensión.

LayerX reporta que al menos tres extensiones activas siguen distribuyéndose, con variaciones que evaden detecciones básicas mediante ofuscación de código y actualizaciones frecuentes. El análisis forense indica que los datos robados permiten a los atacantes impersonar usuarios, acceder a historiales de conversaciones y, en casos de cuentas empresariales, extraer información confidencial procesada por IA.

Impacto en la Seguridad de Usuarios y Organizaciones

El impacto de estas extensiones es significativo, ya que ChatGPT maneja datos sensibles en entornos profesionales, incluyendo análisis de código, estrategias de negocio y consultas médicas. Con más de 100.000 instalaciones, los atacantes podrían haber comprometido miles de cuentas, facilitando ataques de cadena de suministro o espionaje industrial. En términos de ciberseguridad, esto resalta vulnerabilidades en los modelos de distribución de extensiones de navegador, donde la revisión manual por parte de Google no siempre detecta amenazas avanzadas.

Desde una perspectiva técnica, el robo de tokens de sesión bypassa la autenticación de dos factores (2FA) si esta no está configurada para sesiones persistentes. Los atacantes pueden mantener acceso indefinido hasta que el usuario cierre sesión manualmente o cambie contraseñas. LayerX estima que el 70% de las víctimas son usuarios individuales, pero el 30% involucra cuentas corporativas, amplificando el riesgo de brechas de datos masivas.

Medidas de Mitigación y Recomendaciones

Para contrarrestar estas amenazas, LayerX recomienda una revisión inmediata de extensiones instaladas. Los usuarios deben desinstalar cualquier extensión sospechosa relacionada con ChatGPT y verificar permisos excesivos a través de chrome://extensions/. Implementar políticas de seguridad como el bloqueo de extensiones no aprobadas en entornos empresariales es crucial, utilizando herramientas como Google Workspace o políticas de grupo de Chrome.

  • Monitoreo proactivo: Emplear soluciones de seguridad de navegadores que analicen scripts en tiempo real, como extensiones de detección de malware o firewalls web.
  • Higiene de credenciales: Activar 2FA en todas las cuentas de OpenAI y usar gestores de contraseñas para rotación automática de tokens.
  • Análisis técnico: Realizar escaneos regulares con herramientas como VirusTotal para extensiones y monitorear tráfico saliente con Wireshark o similares.

Google ha sido notificado y ha removido algunas de estas extensiones, pero la persistencia de amenazas similares subraya la necesidad de actualizaciones en los procesos de aprobación de la Chrome Web Store.

Conclusiones

El caso de estas extensiones maliciosas ilustra la evolución de las amenazas cibernéticas hacia herramientas de IA populares, donde la confianza en extensiones de navegador se explota para robar accesos críticos. LayerX enfatiza la importancia de la vigilancia continua y la adopción de prácticas de seguridad robustas para proteger entornos dependientes de IA. Al priorizar la verificación de permisos y el monitoreo de comportamientos anómalos, tanto usuarios como organizaciones pueden mitigar riesgos significativos en un panorama digital cada vez más interconectado.

Para más información visita la Fuente original.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta