Los investigadores descubren dos docenas de Chrome maliciosos …



Las extensiones se están utilizando para ofrecer adiciones no deseadas, robar datos y desviar a los usuarios a sitios maliciosos, dice Cato Networks.

Los investigadores de Cato Networks han descubierto dos docenas de extensiones maliciosas del navegador Google Chrome y 40 dominios maliciosos asociados que se utilizan para introducir adware en los sistemas de las víctimas, robar credenciales o redirigir silenciosamente a las víctimas a sitios de distribución de malware.

El proveedor de seguridad descubrió las extensiones en las redes que pertenecen a cientos de sus clientes y descubrió que las herramientas de protección de terminales y los sistemas de inteligencia de amenazas no las marcaban como maliciosas.

Etay Maor, director senior de estrategia de seguridad de Cato Networks, dice que tales extensiones pueden representar riesgos para las organizaciones empresariales. «Los investigadores de seguridad han encontrado extensiones que realizan actividades maliciosas que van desde el robo de nombres de usuario y contraseñas hasta el robo de datos financieros», dice. El robo de datos personales y corporativos es una amenaza real para las organizaciones, y ya ha habido múltiples instancias de extensiones haciéndolo, señala.

Si bien las extensiones maliciosas son un problema con todos los navegadores, es especialmente significativo con Chrome debido a lo ampliamente utilizado que es el navegador, dice Maor. Es difícil decir qué proporción de las extensiones generales de Chrome disponibles actualmente son maliciosas. Es importante tener en cuenta que solo se necesita una cantidad relativamente pequeña de extensiones maliciosas para infectar a millones de usuarios de World-wide-web, dice.

Un ejemplo fue el de Awake Protection. descubrimiento en junio pasado de más de 100 extensiones maliciosas de Google Chrome que se estaban utilizando como parte de una campaña global masiva para robar credenciales, tomar capturas de pantalla y llevar a cabo otras actividades maliciosas. Awake Protection estimó que hubo al menos 32 millones de descargas de las extensiones maliciosas. En febrero de 2020, Google remoto unas 500 extensiones de Chrome problemáticas de su Chrome Net Retail outlet oficial después de que los investigadores de seguridad le avisaron del problema. Se cree que unos 1,7 millones de usuarios se vieron afectados por ese incidente.

En un informe que se publicará próximamente, Cato dice que analizó cinco días de datos de crimson recopilados de las redes de los clientes para ver si podía identificar evidencia de extensiones que se comunican con servidores de comando y management. Básicamente, la compañía correlacionó el comportamiento de las extensiones del navegador Chrome con el tráfico de la purple para clasificar de manera preliminar las extensiones como benignas o maliciosas. El ejercicio dio como resultado que Cato identificara 97 de las 551 extensiones únicas en las redes de los clientes como potencialmente problemáticas. Luego, los investigadores de la compañía inspeccionaron manualmente cada extensión para ver si podían clasificarlas definitivamente como maliciosas o benignas. Ese proceso, a su vez, terminó identificando 87 extensiones como definitivamente maliciosas. De ese número, 24 no habían sido previamente identificados como maliciosos.

Múltiples métodos
Google, al igual que otros fabricantes de navegadores, ha implementado múltiples medidas para examinar la seguridad de las extensiones cargadas en su tienda Chrome. Según Cato, el proceso de subir una extensión a la tienda oficial de Google puede llevar semanas e implica revisiones automáticas y manuales del código y la actividad de la extensión. La configuración de seguridad estándar de Chrome también bloquea la instalación de extensiones provenientes de fuera de Chrome Web Shop. Aun así, la investigación de Cato mostró que los actores de amenazas emplean al menos cuatro enfoques diferentes para introducir extensiones maliciosas en los navegadores de los usuarios.

Una forma común es colarse a través de archivos de instalación de extensiones de tiendas no oficiales. «Algunos desarrolladores prefieren no pasar por el conjunto de restricciones de instalación de Google y ofrecer sus extensiones para descargar desde tiendas no oficiales», dice Maor. Si bien no todas las extensiones en sitios no oficiales son maliciosas, sigue siendo un riesgo obtener extensiones de Chrome desde cualquier lugar que no sea la Chrome Internet Keep oficial de Google. Los atacantes han encontrado formas de eludir el bloqueo de Chrome de extensiones no oficiales mediante el uso de iframes, un mecanismo para incrustar documentos y otro contenido dentro de una página website, dice.

En otros casos, un atacante puede introducir código malicioso en una actualización de la extensión del navegador Chrome. Maor señala varias formas en que esto puede suceder. Un desarrollador, por ejemplo, podría vender código a un tercero que luego le inyecta código malicioso. O un desarrollador podría lanzar inicialmente un navegador benigno que funciona como se anuncia, pero luego se actualiza con propiedades maliciosas una vez que se vuelve common. Los desarrolladores también pueden ser estafados para que cedan el management de su cuenta a un atacante. «En casi todos los casos, la aplicación inicialmente no es dañina, sino que se actualiza más tarde con código malicioso, ya que es más fácil evitar los controles de seguridad que ocurren en la tienda de Google de esa manera», dice Maor.

También se sabe que los adversarios compran derechos sobre una extensión legítima de Chrome y luego la modifican con código malicioso o usan una extensión maliciosa para descargar extensiones maliciosas adicionales.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original