Noticias

Google vincula extensiones maliciosas de Chrome con más de 1,4 millones de descargas

Google eliminó 5 complementos de navegador maliciosos de su Chrome Web Store que se descargaron colectivamente más de 1,4 millones de veces.

​​Los analistas de amenazas de McAfee descubrieron que estas extensiones de navegador que crecieron a medida que los espectadores de Netflix y otros estaban diseñados para monitorear continuamente las actividades de navegación de los usuarios.

Los complementos del navegador Chrome involucrados son:

  • fiesta netflix (mmnbenehknklpbendgmgngeaignppnbe) – 800.000 descargas
  • fiesta netflix 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300.000 descargas
  • FlipShope – Extensión de rastreador de precios (adikhbfjdbjkhelbdnffogkobkekkkej) – 80.000 descargas
  • Capturar una captura de pantalla de página completa – captura de pantalla (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200.000 descargas
  • Ventas relámpago de compra automática (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20.000 descargas

Estas extensiones ofrecían varias funciones, como permitir a los usuarios ver programas de Netflix juntos, cupones de sitios web y tomar capturas de pantalla de un sitio web. Este último tomó prestadas algunas frases de otra extensión popular llamada GoFullPage.

Además de ofrecer la funcionalidad prevista, las extensiones rastreaban la actividad de navegación del usuario. Según McAfee, cada sitio web que visitaba un usuario se enviaba a servidores propiedad del creador de la extensión para que pudieran insertar código en los sitios web de comercio electrónico que visitaban. Esta acción luego cambió las cookies en el sitio para que los autores de la extensión recibieran un pago de afiliado por cualquier artículo comprado.

«Los usuarios de las extensiones no conocen esta funcionalidad ni el riesgo de privacidad de enviar todos los sitios visitados a los servidores del autor de la extensión», dijeron los investigadores de McAfee. escribe en su publicación de blog.

¿Cómo funcionaron las extensiones?

Las 5 extensiones realizan un comportamiento similar. La aplicación web (archivo manifest.json) establece la página de fondo como bg.html, que carga B0.js (un script multipropósito) que envía los datos de navegación a un dominio controlado por los atacantes («langhort[.]com”).

Los datos se entregan a través de solicitudes POST cada vez que el usuario visita una nueva URL. La información incluye la URL en formato base64, la identificación del usuario, la ubicación del dispositivo (país, ciudad, código postal) y una URL de redirección codificada.

Al recibir la URL, langhort.com compara cualquier entrada en una lista de sitios web para los que tiene una identificación de afiliado y, si la tiene, el servidor responde a B0.js con una de dos funciones posibles.

La primera función es, “Resultado[‘c’] – passf_url”, para comprobar si la pregunta fue respondida con una URL. Si lo hiciera, insertaría la URL recibida del servidor como un Iframe en el sitio web visitado.

La segunda función, “Resultado[‘e’] setCookie», ordena a B0.js que también modifique una cookie o reemplace la proporcionada para realizar ciertas acciones si la extensión ha recibido los permisos asociados.

McAfee también ha publicado un vídeo que muestra cómo se producen las modificaciones de URL y cookies en tiempo real:

Para evitar el análisis y evitar que se identifique actividad maliciosa en entornos de análisis automatizados, algunas de las extensiones implicaron un retraso de 15 días desde el momento de la instalación para evitar señales de alerta antes de que la actividad del navegador pudiera comenzar a enviarse.

En el momento de escribir este artículo, las 5 extensiones maliciosas de Chrome se han eliminado de Google Play Store. Sin embargo, esto no los elimina de los navegadores web. Por lo tanto, se recomienda a los usuarios que los desinstalen manualmente de sus dispositivos.

HackNarrow

Informático de profesión, me dedico a probar nuevas versiones de hardware y verificar la seguridad e integridad de servidores y firewalls. Escribo un poco sobre novedades en la rama de la seguridad informática en general.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!