Clicky

Atrapadas 500 extensiones de Chrome robando datos privados de 1,7 millones de usuarios

extensiones de Chrome

Cuidado con las extensiones de navegador que roban datos

Google retiró de su tienda web 500 extensiones maliciosas de Chrome después que descubrieran que inyectaban anuncios maliciosos y desviaban los datos de navegación de los usuarios a servidores bajo el control de los atacantes.

Estas extensiones fueron parte de una campaña de publicidad fraudulenta y fraude publicitario que ha estado operando al menos desde enero de 2019, aunque la evidencia señala la posibilidad de que el actor detrás del esquema haya estado activo desde 2017.

Los hallazgos provienen de una investigación conjunta del investigador de seguridad Jamila Kaya y Duo Security, propiedad de Cisco, que descubrió 70 extensiones de Chrome con más de 1,7 millones de instalaciones.

Al compartir el descubrimiento en privado con Google, la compañía pasó a identificar 430 extensiones de navegador más problemáticas, que se han desactivado desde entonces.

"La prominencia de la publicidad maliciosa como un vector de ataque continuará aumentando mientras la publicidad basada en el seguimiento siga siendo omnipresente, y particularmente si los usuarios siguen desatendidos por los mecanismos de protección", dijeron en el informe Jacob Rickerd de Kaya y Duo Security.

Una campaña de publicidad mal encubierta

Utilizando la herramienta de evaluación de seguridad de extensiones de Chrome de Duo Security, llamada CRXcavator, los investigadores pudieron determinar que los complementos del navegador funcionaban al conectar subrepticiamente los clientes del navegador a un servidor de comando y control (C2) controlado por el atacante que permitía filtrar en privado navegar por los datos sin el conocimiento de los usuarios.

Las extensiones, que funcionaban bajo la apariencia de promociones y servicios de publicidad, tenían un código fuente casi idéntico pero diferían en los nombres de las funciones, evadiendo así los mecanismos de detección de Chrome Web Store.

extensiones maliciosas de Chrome

Además de solicitar permisos extensos que otorgan acceso a los complementos al portapapeles y a todas las cookies almacenadas localmente en el navegador, se conectan periódicamente a un dominio que comparte el mismo nombre que el complemento (por ejemplo, Mapstrekcom, ArcadeYumcom) para verificar las instrucciones para obtener ellos mismos desinstalados del navegador.

Al hacer contacto inicial con el sitio, los complementos establecieron posteriormente contacto con un dominio C2 codificado, por ejemplo, DTSINCEcom, para esperar más comandos, las ubicaciones para cargar datos de usuarios y recibir listas actualizadas de anuncios maliciosos y redireccionar dominios, que posteriormente redirigieron las sesiones de navegación de los usuarios a una combinación de sitios legítimos y de phishing.

"Una gran parte de estos son flujos de anuncios benignos, que conducen a anuncios como Macy's, Dell o Best Buy", encontró el informe. "Algunos de estos anuncios podrían considerarse legítimos; sin embargo, del 60 al 70 por ciento de las veces que se produce una redirección, los flujos de anuncios hacen referencia a un sitio malicioso".

Cuidado con las extensiones de navegador que roban datos

Esta no es la primera vez que se descubren extensiones de robo de datos en el navegador Chrome. En julio pasado, el investigador de seguridad Sam Jadali y The Washington Post descubrieron una fuga de datos masiva llamada DataSpii perpetrada por extensiones sombrías de Chrome y Firefox instaladas en cuatro millones de navegadores de los usuarios.

Estos complementos recopilaron actividad de navegación, incluida la información de identificación personal, y la compartieron con un agente de datos externo no identificado que lo pasó a una empresa de análisis llamada Nacho Analytics (ahora cerrada), que luego vendió los datos recopilados a su suscripción miembros en tiempo casi real.

En respuesta, a partir del 15 de octubre de 2019 Google comenzó a exigir extensiones que solicitasen solo acceso a la "menor cantidad de datos", prohibiendo cualquier extensión que no tenga una política de privacidad y recopile datos sobre los hábitos de navegación de los usuarios.

Por ahora, se aplica la misma regla de precaución: revisa los permisos de tu extensión, considera desinstalar las extensiones que rara vez usas o cambia a otras alternativas de software que no requieren acceso invasivo a la actividad de tu navegador.

Jesus_Caceres