Google elimina más de 500 extensiones de Chrome maliciosas de la tienda world wide web


Tienda virtual de Chrome

Google ha eliminado más de 500 extensiones maliciosas de Chrome de su tienda web oficial luego de una investigación de dos meses realizada por un investigador de seguridad Jamila Kaya y el equipo de Cisco Duo Safety.

Las extensiones eliminadas funcionan mediante la inyección de anuncios maliciosos (publicidad maliciosa) dentro de las sesiones de navegación de los usuarios.

El código malicioso inyectado por las extensiones se activó bajo ciertas condiciones y redirigió a los usuarios a sitios específicos. En algunos casos, el destino sería un enlace de afiliado en sitios legítimos como Macys, Dell o BestBuy pero en otros casos, el enlace de destino sería algo malicioso, como un sitio de descarga de malware o una página de phishing.

De acuerdo a un informe publicado hoy y compartido con ZDNet, las extensiones fueron parte de una operación de malware más grande que ha estado activa durante al menos dos años.

El equipo de investigación también cree que el grupo que organizó esta operación podría haber estado activo desde principios de 2010.

Se cree que millones de usuarios se vieron afectados

El responsable de desenterrar esta operación es Kaya. La investigadora le dijo a ZDNet en una entrevista que descubrió las extensiones maliciosas durante la búsqueda de amenazas de rutina cuando notó visitas a sitios maliciosos que tenían un patrón de URL común.

Apalancamiento CRXcavator, un servicio para analizar extensiones de Chrome, Kaya descubrió un grupo inicial de extensiones que se ejecutan sobre una base de código casi idéntica, pero utilizan varios nombres genéricos, con poca información sobre su verdadero propósito.

«Individualmente, identifiqué más de una docena de extensiones que compartían un patrón», nos dijo Kaya. «Al contactar a Duo, pudimos identificarlos rápidamente con la base de datos de CRXcavator y descubrir toda la crimson».

Según Duo, estas primeras series de extensiones tuvieron un recuento overall de instalación de más de 1.7 millones de usuarios de Chrome.

«Posteriormente nos comunicamos con Google con nuestros hallazgos, que fueron receptivos y colaboraron para eliminar las extensiones», dijo Kaya ZDNet.

Después de su propia investigación, Google encontró aún más extensiones que se ajustan al mismo patrón y prohibió más de 500 extensiones en overall. No está claro cuántos usuarios habían instalado las más de 500 extensiones maliciosas, pero es muy possible que el número esté en el rango de millones.

Extensiones deshabilitadas en las instalaciones de Chrome de los usuarios

Las redes de extensiones maliciosas de Chrome se han descubierto en el pasado. Por lo normal, estas extensiones generalmente se dedican a inyectar anuncios legítimos dentro de la sesión de navegación de un usuario, y los operadores de extensión obtienen ingresos al mostrar anuncios. En todos los casos, las extensiones intentan ser lo menos intrusivas posible, para no alertar a los usuarios de una posible infección.

Lo que sobresalió de este esquema fue el uso de «redireccionamientos» que a menudo secuestraban a los usuarios lejos de sus destinos web previstos de una manera muy ruidosa y abrasiva que era difícil de ignorar o pasar desapercibida.

Sin embargo, en el estado genuine de Online, donde muchos sitios world wide web utilizan esquemas publicitarios similares con anuncios agresivos y redirecciones, muchos usuarios ni siquiera se preocuparon.

«Si bien las redirecciones eran increíblemente ruidosas desde el lado de la purple, ningún usuario entrevistado informó que era demasiado molesto con las redirecciones», dijo Kaya ZDNet.

Una lista de ID de extensión que formaban parte de este esquema se enumera en Informe Duo. Cuando Google prohibió las extensiones de la tienda world-wide-web oficial, también las desactivó dentro del navegador de cada usuario, al tiempo que marcó la extensión como «maliciosa» para que los usuarios sepan eliminarla y no reactivarla.





Enlace a la noticia first