Más que 500 extensiones de Chrome maliciosos se han retirado de la tienda web de Google, todos los cuales fueron descubiertos a ser parte de una gran campaña de publicidad maliciosa. Las extensiones contenían anuncios maliciosos y fueron de sifón datos de navegación de los usuarios a los servidores sospechosas. Los hallazgos provienen de una investigación conjunta llevada a cabo por el investigador de seguridad Jamila Kaya y Seguridad Duo.
¿Cómo los investigadores vienen a través de las extensiones de Chrome maliciosos?
Según lo explicado por los investigadores en su informe original, Jamila Kaya contacto Duo de Seguridad sobre “una variedad de extensiones de Chrome que identificó a estar operando de manera que en un principio parecía legítimo”. Sin embargo, el análisis más detallado reveló que las extensiones se infectando a los navegadores de los usuarios y exfiltrating datos como parte de una campaña más amplia. En verdad, las extensiones eran parte de una red de plugins del navegador de imitación:
Estas extensiones se presentan comúnmente como ofrecer la publicidad como un servicio. Jamila descubrió que eran parte de una red de plugins de imitación compartir funcionalidad casi idéntica. A través de la colaboración, hemos sido capaces de tomar las pocas docenas de extensiones y utilizar para identificar CRXcavator.io 70 adaptada a sus patrones a través 1.7 millones de usuarios y preocupaciones escalar a Google.
La buena noticia es que Google no tardó en responder, y tomó medidas inmediatamente después de ser notificado acerca de los hallazgos. Una vez que se presentó el informe, el gigante de la tecnología trabajó para validar los resultados y pasó a las huellas digitales de las extensiones, los investigadores compartieron. Como resultado de esta cooperación, Google fue capaz “para buscar en todo el corpus Chrome Web Store para descubrir y eliminar más de 500 extensiones relacionados".
Como una cuestión de hecho, hemos publicado numerosos artículos específicos sobre las extensiones del navegador maliciosos similares que afectan a todos los navegadores populares (Firefox, Cromo, Ópera, Internet Explorer, Safari, Borde, etc). Un ejemplo de tal extensión es la llamada Mapas Frontier.
Con el fin de instalar en el ordenador de un usuario, mapas Frontier y aplicaciones similares utilizan diferentes estrategias. El programa se puede instalar automáticamente en su ordenador en forma de una oferta adicional en un paquete de instalación de software gratuito. Tales extensiones potencialmente maliciosos suelen instalarse en un instalador de software gratuito de un programa de terceros, y los usuarios terminan descargarlos involuntariamente.
Sin embargo, maliciosa es también una opción, como se ha señalado por los investigadores que descubrió las extensiones maliciosos en Chrome Web Store:
Cada vez más actores maliciosos utilizarán actividad legítima de Internet para ocultar su hazaña goteros o esquemas de mando y control. Una forma muy popular de hacer esto es utilizar cookies de publicidad y las redirecciones en el mismo para las devoluciones de llamada de control y evitar ser detectados. Esta tecnica, llamado “maliciosa” se ha convertido en un vector de infección cada vez más común en la experiencia de Jamila, y sigue siendo difícil de detectar hoy, a pesar de ser prominente durante años.
Como resultado de esta campaña de publicidad maliciosa, más que 1.7 millón de usuarios se vieron afectados. Este número indica la escala en que las extensiones del navegador puede ser utilizado como un vector de ataque con bastante eficacia. “Como parte de una buena higiene de seguridad, recomendamos a los usuarios auditar regularmente lo que las extensiones se han instalado, eliminar los que ya no uso, y los informes que no reconocen,”Concluyen los investigadores.