El caso para limitar las extensiones de su navegador – Krebs on Stability


La semana pasada, KrebsOnSecurity informó al proveedor de seguro de salud Escudo Azul de California que su sitio net fue marcado por múltiples productos de seguridad como contenido malicioso. Blue Defend eliminó rápidamente el código no autorizado. Una investigación determinó que fue inyectada por una extensión de navegador instalada en la computadora de un empleado de Blue Protect que había editado el sitio website en el último mes.

El incidente es un recordatorio de que las extensiones del navegador, por útiles o divertidas que puedan parecer cuando las instala, suelen tener una gran potencia y pueden leer y / o escribir de manera efectiva todos los datos en sus sesiones de navegación. Y como veremos, no es raro que los creadores de extensiones vendan o arrenden su foundation de usuarios a firmas de publicidad sospechosas, o en algunos casos los abandonen a los cibercriminales.

El sitio de seguro de salud se vio comprometido después de que un empleado de la compañía editó el contenido en el sitio mientras usaba un navegador web equipado con una extensión una vez benigna pero ahora comprometida que silenciosamente inyectaba código en la página.

La extensión en cuestión fue Regla de página, una adición de Chrome con unas 400,000 descargas. Webpage Ruler permite a los usuarios medir el ancho en pulgadas / píxeles de imágenes y otros objetos en una página world wide web. Pero la extensión fue vendido por el desarrollador authentic Hace unos años, y por alguna razón todavía está disponible en la tienda de Google Chrome a pesar de varios informes recientes de personas que lo culpan por difundir código malicioso.

¿Cómo llevó una extensión del navegador a agregar un enlace malicioso al sitio website de la compañía de seguros de salud? Esta extensión comprometida intenta determinar si la persona que la usa está escribiendo contenido en formularios world wide web específicos, como un sistema de edición de publicaciones de site como WordPress o Joomla.

En ese caso, la extensión agrega silenciosamente una solicitud de un enlace de JavaScript al remaining de lo que el usuario escriba y guarde en la página. Cuando ese contenido HTML modificado se guarda y se publica en la Website, el código JavaScript oculto hace que el navegador del visitante muestre anuncios bajo ciertas condiciones.

No está claro quién recibe exactamente el pago cuando se muestran o hacen clic en esos anuncios, pero hay algunas pistas sobre quién está facilitando esto. El enlace malicioso que activó las alarmas de antivirus cuando las personas intentaron visitar Blue Shield California descargó contenido de JavaScript de un dominio llamado linkojager (.) org.

El archivo que intentó descargar: 212b3d4039ab5319ec.js – parece tener el nombre de un número de identificación de afiliado que designa una cuenta específica que debe acreditarse por la publicación de anuncios. Una simple búsqueda en Net muestra que este mismo código JavaScript está presente en cientos de otros sitios website, sin duda publicado por los propietarios del sitio que estaban editando sus sitios con esta extensión de regla de página instalada.

Si descargamos una copia de ese archivo javascript y lo vemos en un editor de texto, podemos ver el siguiente mensaje hacia el ultimate del archivo:

El desarrollo de (NOMBRE DE LA EXTENSIÓN AQUÍ) está respaldado por anuncios que se agregan a algunos de los sitios net que visita. Durante el desarrollo de esta extensión, pasé miles de horas agregando funciones, corrigiendo errores y mejorando las cosas, sin mencionar el soporte de todos los usuarios que solicitan ayuda.

Los anuncios admiten la mayor parte de Web que todos usamos y amamos sin ellos, el online que tenemos hoy simplemente no existiría. Del mismo modo, sin ingresos, esta extensión (y las próximas nuevas) no serían posibles.

Puede deshabilitar estos anuncios ahora o más tarde en la página de configuración. También puede minimizar la apariencia de los anuncios haciendo clic en el botón de soporte parcial. Ambas opciones están disponibles haciendo clic en el botón &#39x &#39 &#39en la esquina de cada anuncio. En ambos casos, su elección permanecerá vigente a menos que reinstale o restablezca la extensión.

Esto parece ser texto repetitivo utilizado por uno o más programas afiliados que pagan a los desarrolladores para agregar algunas líneas de código a sus extensiones. La función de exclusión mencionada en el texto anterior en realidad no funciona porque apunta a un dominio que ya no se resuelve, thisadsfor (.) nosotros. Pero ese dominio sigue siendo útil para tener una mejor thought de lo que estamos tratando aquí.

Registros de registro mantenidos por Herramientas de dominio (un anunciante en este sitio) dice que originalmente se registró a alguien que united states la dirección de correo electrónico frankomedison1020@gmail.com. Una búsqueda inversa de WHOIS en ese nombre inusual arroja varios otros dominios interesantes, incluidos icontent (.) nosotros.

icontent (.) us actualmente tampoco está resolviendo, pero una versión en caché de la misma en Archive.org muestra que una vez perteneció a una red publicitaria llamada Metrext, que se comercializó como una plataforma de análisis que permite a los creadores de extensiones rastrear a los usuarios en tiempo actual.

Una copia archivada del contenido una vez servido en icontent (.) Nos promete la capacidad de «plag’n’play».

«Tres líneas en su producto y está en vivo», iContent entusiasmado. «Altos ingresos por usuario».

Otro dominio vinculado a Frank Medison es cdnpps (.) nosotros, que actualmente redirige al dominio «monetizus (.) com. » Al igual que sus competidores, el sitio de Monetizus está lleno de errores gramaticales y ortográficos: «Use las soluciones Monetizus para aportar un valor adicional a sus barras de herramientas, complementos y extensiones, sin perder una audiencia», dice la compañía en un banner en la parte top-quality de su sitio .

¡Asegúrese de no «perder» en actividades incompletas para ganar dinero!

Contactado por KrebsOnSecurity, desarrollador unique de Page Ruler Peter Newnham confirmó que vendió su extensión a MonetizUs en 2017.

«No dijeron qué iban a hacer con él, pero supuse que iban a tratar de monetizarlo de alguna manera, probablemente con los guiones que menciona su sitio internet», dijo Newnham.

«Probablemente podría haber hecho mucho más código de anuncios en ejecución yo mismo, pero no quería la molestia de administrar todo eso y Google parecía estar haciendo ruidos en ese momento sobre tomar medidas enérgicas contra ese tipo de comportamiento, por lo que el pago fuera adecuado estoy bien ”, dijo Newnham. «Especialmente porque no había actualizado la extensión durante aproximadamente 3 años y la vida laboral y common significaba que era poco possible que hiciera algo con ella también en el futuro».

Monetizus no respondió a las solicitudes de comentarios.

Newnham declinó decir cuánto le pagaron por entregar su extensión. Pero no es difícil ver por qué los desarrolladores pueden vender o arrendar su creación a una empresa de advertising and marketing: muchas de estas entidades ofrecen la promesa de un gran día de pago para extensiones con seguidores decentes. Por ejemplo, una plataforma de monetización de extensión competitiva llamada AddonJet afirma que puede ofrecer ingresos de hasta $ 2,500 por día por cada 100,000 usuarios en los Estados Unidos (ver captura de pantalla a continuación).

¡Lea aquí cómo funciona!

Espero que sea obvio en este punto, pero los lectores deben ser extremadamente cautelosos acerca de la instalación de extensiones, atendiéndose principalmente a aquellas que reciben soporte activo y responden a las preocupaciones de los usuarios. Personalmente, no uso mucho las extensiones del navegador. En casi todos los casos he considerado instalar uno, los permisos solicitados me han asustado lo suficiente como para decidir que finalmente decidí que no valía la pena el riesgo.

Si usted es el tipo de persona que usa múltiples extensiones, puede ser conveniente adoptar un enfoque basado en el riesgo en el futuro. Dada la gran importancia que normalmente conlleva la instalación de una extensión, considere cuidadosamente si realmente vale la pena tener la extensión. Esto se aplica igualmente a los complementos diseñados para sistemas de gestión de contenido de sitios web como WordPress y Joomla.

No acepte actualizar una extensión si de repente solicita más permisos que una versión anterior. Esto debería ser una bandera roja gigante de que algo no está bien. Si esto sucede con una extensión en la que confía, le recomendamos que la elimine por completo.

Además, nunca descargue e instale una extensión solo porque algún sitio net dice que la necesita para ver algún tipo de contenido. Hacer lo contrario es casi siempre una propuesta de alto riesgo. Aquí, entra en juego la regla n. ° 1 de las tres reglas de seguridad en línea de KrebsOnSecurity: «Si no la buscó, no la instale». Finalmente, en caso de que desee instalar algo, asegúrese de obtenerlo directamente de la entidad que produjo el software package.

Los usuarios de Google Chrome pueden ver cualquier extensión que hayan instalado haciendo clic en los tres puntos a la derecha de la barra de direcciones, seleccionando «Más herramientas» en el menú desplegable resultante y luego «Extensiones». En Firefox, haga clic en las tres barras horizontales al lado de la barra de direcciones y seleccione «Complementos», luego haga clic en el enlace «Extensiones» en la página resultante para ver las extensiones instaladas.


Etiquetas: 212b3d4039ab5319ec.js, Blue Shield of California, cndpps, DomainTools.com, frankomedison1020@gmail.com, icontent, linkojager, metrext, monetizus, extensión de regla de página, Peter Newnham, thisadsfor

Esta entrada fue publicada el martes 3 de marzo de 2020 a las 10:39 am y está archivada en Breadcrumbs.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el ultimate y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia primary