La amenaza de la extensión del navegador se dirige a millones de usuarios


Herramienta de software cms del sitio web y concepto de complemento, aplicación de gestión de contenido web, tecnología de Internet, computación en la nube y almacenamiento de datos.  Plantilla de banner web de diseño plano.
Imagen: Adobe Stock

Cada vez hay más servicios disponibles en línea sin ningún cliente de program adicional. El secreto es que todos se ejecutan directamente dentro de los navegadores de Net. Esos navegadores también se han adaptado a través del tiempo, brindando la posibilidad de agregar extensiones, para miles de propósitos diferentes. Sin embargo, los ciberdelincuentes ya llevan varios años aprovechándose de esta situación y no va a parar. Kaspersky lanzó un nuevo reporte sobre esta amenaza específica.

Descargas de extensiones de navegador

Las extensiones de navegador, también llamadas complementos, se descargan principalmente de los repositorios de proveedores de navegadores o mercados oficiales, como Chrome World wide web Keep o el sitio web de complementos de Firefox. Estas plataformas generalmente tienen procesos para verificar si una extensión es benigna o podría ser una forma de malware, pero algunos desarrolladores de malware calificados aún podrían pasar por alto esos controles. En 2020, 106 extensiones de navegador fueron remoto de Chrome Website Store, que se united states para robar datos de usuarios, tomar capturas de pantalla o incluso robar información de tarjetas de crédito de formularios world-wide-web.

Sin embargo, también sucede con bastante frecuencia que algunos desarrolladores de complementos proporcionan su trabajo en su propio sitio website y permiten la descarga e instalación de sus complementos en el navegador.

Extensiones de navegador: los riesgos

Incluso sin hablar de complementos maliciosos, algunas extensiones pueden ser dañinas para el usuario, en la forma en que recopilan una gran cantidad de datos de las páginas internet que visita el usuario, lo que permite crear un perfil completo de la persona que navega por los datos y posiblemente saber demasiado sobre él/ella. El desarrollador del complemento puede compartir o vender estos datos a anunciantes u otros terceros. En el peor de los casos, los datos no se anonimizan ni se venden sin procesar.

Otro riesgo radica en el hecho de que una vez que se instala un complemento, se puede actualizar sin requerir ninguna acción por parte del usuario last, lo que significa que un complemento legítimo podría verse comprometido repentinamente y comenzar a propagar malware, como sucedió con el complemento CopyFish. Un desarrollador también podría renunciar a desarrollar su herramienta y venderla o dársela a otro desarrollador, quien podría convertirlo en malware.

VER: Política de seguridad de dispositivos móviles (Top quality de TechRepublic)

Estadísticas de complementos maliciosos

Kaspersky analizó datos entre enero de 2020 y junio de 2022 y proporcionó métricas sobre esta amenaza.

Desde 2020, han bloqueado las descargas de complementos maliciosos para 6 057 308 usuarios, la mayoría de ellos en 2020 (Figura A).

Figura A

Número de víctimas únicas que intentan descargar complementos maliciosos.
Número de víctimas únicas que intentan descargar complementos maliciosos. Imagen: Kaspersky

Como se puede ver en el gráfico, el primer semestre de 2022 ya casi ha alcanzado el nivel de todo el año 2021 y probablemente aumentará en la última parte del año.

Cargas maliciosas

La amenaza más común que se propaga a través de las extensiones del navegador es el adware, que consiste en tener un código dentro de la extensión para mostrar anuncios no deseados en el navegador mientras el usuario navega por los sitios net. Esos anuncios son impulsados ​​por programas de afiliados, en un esfuerzo por atraer más clientes potenciales a sus sitios internet (Figura B).

Figura B

Anuncios insertados en una página de resultados de búsqueda dentro del navegador del usuario.
Anuncios insertados en una página de resultados de búsqueda dentro del navegador del usuario. Imagen: Kaspersky

Los investigadores de Kaspersky indican que el adware representa alrededor del 70 % de toda la amenaza de la extensión del navegador.

La segunda amenaza más extendida es el malware, la mayoría del malware tiene como objetivo robar credenciales, cookies y datos copiados en el portapapeles. Si bien el uso principal de este tipo de malware es robar credenciales válidas para sitios internet y datos de tarjetas de crédito, también puede usarse para ciberespionaje. Entre 2020 y 2022, 2,6 millones de usuarios únicos encontraron intentos de descarga de malware.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

Ejemplos de amenazas

Kaspersky proporciona varios ejemplos de extensiones maliciosas, dos de las cuales realmente se destacan de la masa.

Búsqueda Internet

El primer semestre de 2022 mostró a WebSearch como la amenaza más común, afectando a 876 924 usuarios únicos. La amenaza imita herramientas para trabajar con documentos, como convertidores de archivos .DOC a .PDF y fusiones de documentos, entre otros.

Cambia la página de inicio del navegador del usuario, proporcionando enlaces a recursos de terceros. La transición a estos recursos se realiza a través de enlaces de afiliados. Como escribió Kaspersky, «cuanto más a menudo los usuarios sigan estos enlaces, más dinero ganarán los desarrolladores de extensiones».

El motor de búsqueda predeterminado también se modifica a uno que puede capturar consultas, recolectarlas y analizarlas, para promover sitios de socios relevantes en los resultados de búsqueda (Figura C).

Figura C

La página de inicio del usuario modificada por WebSearch muestra diferentes enlaces y motores de búsqueda.
La página de inicio del usuario modificada por WebSearch muestra diferentes enlaces y motores de búsqueda. Imagen: Kaspersky

La parte inteligente de esto es que el complemento aún proporciona las funcionalidades para las que el usuario lo instaló, generalmente el convertidor de PDF, por lo que el usuario no lo desinstala.

No está disponible en Chrome World-wide-web Retailer, pero aún se puede descargar de recursos de terceros.

Ladrón de Fb

Una de las familias más peligrosas de extensiones de navegador maliciosas es actualmente FB Stealer, cuyo objetivo es robar cookies de Fb además de cambiar el motor de búsqueda. El robo de cookies permite que un atacante inicie sesión en la cuenta de Facebook de la víctima y obtenga el command overall de la misma, a menudo cambiando la contraseña para expulsar al usuario legítimo antes de usar la cuenta para diferentes estafas. FB Stealer es instalado en el navegador por un malware, no por el usuario.

Lo que sucede es que los usuarios descargan y se infectan con el malware Nullmixer, a menudo disfrazado como un instalador de software package descifrado. Una vez ejecutado, instala silenciosamente el malware de extensión de navegador FB Stealer en la computadora.

¿Cómo protegerse de esas amenazas?

Se recomienda mantener siempre el navegador actualizado y parcheado. Además, se recomienda encarecidamente que los productos de seguridad analicen todos los datos del navegador.

La mayoría de los complementos maliciosos necesitan privilegios adicionales para ejecutarse por completo. Los usuarios siempre deben examinar cuidadosamente los privilegios solicitados por un nuevo complemento que están instalando.

Los complementos solo deben descargarse de fuentes confiables, ya que los complementos maliciosos a menudo se distribuyen a través de recursos de terceros donde nadie verifica su seguridad como lo hacen las tiendas web oficiales.

Finalmente, los usuarios deben revisar periódicamente sus extensiones instaladas y verificar si todavía es realmente necesario. Si no, debe ser desinstalado.

Divulgación: Trabajo para Pattern Micro, pero las opiniones expresadas en este artículo son mías.



Enlace a la noticia primary