Las extensiones formaban parte de una red de fraude publicitario y publicidad maliciosa de larga duración

Más de 500 extensiones del navegador de Google, Chrome, que fueron descargadas millones de veces del Chrome Web Store de Google subieron de forma oculta datos privados de la navegación de sus usuarios a servidores controlados por atacantes.

Las extensiones formaron parte de un esquema de publicidad y fraude publicitario que fue descubierto por la investigadora independiente Jamila Kaya. Ella y los investigadores de Duo Security, propiedad de Cisco, finalmente identificaron 71 extensiones de Chrome Web Store que habían sido instaladas más de 1.7 millones de veces. Después de que los investigadores informaran en privado sus hallazgos a Google, la compañía identificó más de 430 extensiones adicionales. Desde entonces, Google ha eliminado todas las extensiones conocidas.

«En el caso reportado aquí, los creadores de extensiones de Chrome habían hecho específicamente extensiones que ofuscaron la funcionalidad publicitaria subyacente de los usuarios», escribieron en un informe Jacob Rickerd, investigador de Kaya y Duo Security . «Esto se hizo para conectar a los clientes del navegador a una arquitectura de comando y control, filtrar datos de navegación privados sin el conocimiento de los usuarios, exponer al usuario al riesgo de explotación a través de flujos de publicidad e intentar evadir los mecanismos de detección de fraude del Chrome Web Store»

Un laberinto de redireccionamientos y malware

Las extensiones se presentaban principalmente como herramientas que proporcionaban utilidades de promoción y publicidad. Después los complementos redirigían a los navegadores a través de unos pocos servidores de control codificados, para recibir instrucciones adicionales. Luego los navegadores infectados cargaban los datos del usuario, actualizaban las configuraciones de los complementos y generaban un flujo de redirecciones del sitio web.

Muchas de las redirecciones condujeron a anuncios lícitos de productos de marcas como Macy’s, Dell o Best Buy. Lo que hizo que el esquema fuera malicioso y fraudulento fue el gran volumen de contenidos del anuncio (hasta 30 redirecciones en algunos casos), la ocultación deliberada de la mayoría de los anuncios de los usuarios finales y el uso del anuncio para para enviar a los navegadores infectados a sitios de malware y phishing.

Los investigadores encontraron evidencia de que la campaña ha estado operando al menos desde Enero de 2019 y creció rápidamente, particularmente desde Marzo hasta Junio. Es posible que incluso estuvieran activos durante un período mucho más largo, posiblemente desde 2017.

Si bien cada uno de los 500 complementos parecía ser diferente, todos contenían un código fuente casi idéntico, con la excepción de los nombres de las funciones, que eran únicos. Casi ninguno de los complementos tiene calificaciones de usuarios, un rasgo que dejó a los investigadores inseguros de cómo se instalaron las extensiones. Google agradeció a los investigadores por informar de sus hallazgos.

Cuidado con las extensiones

Este último descubrimiento se produce siete meses después de que un investigador independiente diferente documentara extensiones del navegador que publicaban los historiales de navegación de más de 4 millones de ordenadores infectados. Si bien la gran mayoría de las instalaciones afectaron a los usuarios de Chrome, algunos usuarios de Firefox también estuvieron implicados.

Este nuevo problema con las extensiones de los navegadores es un recordatorio de que las personas deben tener cuidado al instalar estas herramientas, y usarlas solo cuando brinden un beneficio real. Siempre es una buena idea leer los comentarios de los usuarios para buscar informes de comportamientos sospechosos. Las personas deben verificar regularmente las extensiones que no reconocen o no han utilizado recientemente y eliminarlas.

Fuente: Ars Technica