Más de 20 millones de usuarios han instalado bloqueadores de anuncios maliciosos desde Chrome Store

Lamentablemente, las extensiones maliciosas en el navegador no son nada nuevo. A menudo tienen acceso a todo lo que haces en línea y podrían permitir a sus creadores robar cualquier información que ingresen las víctimas en cualquier sitio web que visiten, incluidas las contraseñas, el historial de navegación web y los detalles de la tarjeta de crédito.

Descubiertas por Andrey Meshkov, cofundador de Adguard, estas cinco extensiones maliciosas son versiones de imitación de algunos bloqueadores de anuncios legítimos y bien conocidos.

Los creadores de estas extensiones también utilizaron populares palabras clave en sus nombres y descripciones para posicionarse entre los primeros en los resultados de búsqueda, lo que aumenta la posibilidad de que más usuarios los descarguen.

"Todas las extensiones que he resaltado son estafas simples con algunas líneas de código y algunos códigos de análisis agregados por los autores", dice Meshkov.

Después de que Meshkov informara el martes sobre sus hallazgos a Google, el gigante de la tecnología eliminó inmediatamente todas las siguientes extensiones de bloqueadores de anuncios maliciosos de Chrome Store:

• AdRemover for Google Chrome™ (10 million+ users)
• uBlock Plus (8 million+ users)
• [Fake] Adblock Pro (2 million+ users)
• HD for YouTube™ (400,000+ users)
• Webutation (30,000+ users)

Meshkov descargó la extensión 'AdRemover' para Chrome, y luego de analizarla, descubrió que el código malicioso escondido dentro de la versión modificada de jQuery, una conocida biblioteca de JavaScript, envía información sobre algunos sitios web que un usuario visita de regreso a un servidor remoto.

La extensión maliciosa luego recibe comandos del servidor remoto, que se ejecutan en la extensión 'página de fondo' y pueden cambiar el comportamiento del navegador de cualquier manera.
Para evitar la detección, estos comandos enviados por el servidor remoto están ocultos dentro de una imagen inofensiva.

"Estos comandos son scripts que luego se ejecutan en el contexto privilegiado (página de fondo de la extensión) y pueden cambiar el comportamiento del navegador de cualquier forma", dice Meshkov.
"Básicamente se trata de una botnet compuesta por navegadores infectados con las extensiones falsas de bloqueadores de anuncios", dice Meshkov. "El navegador hará lo que el propietario del servidor del centro de comando le ordene hacer".

El investigador también analizó otras extensiones en Chrome Store y encontró cuatro extensiones más usando tácticas similares.

Como la extensión del navegador tiene permiso para acceder a todas las páginas web que visita, puede hacer prácticamente cualquier cosa.

Por lo tanto, se recomienda instalar la menor cantidad posible de extensiones y solo de compañías en las que confíes.