Busted: enorme operación de malware dirigida a extensiones de Google Chrome

Un día, mientras realizaba algunas tareas rutinarias relacionadas con su trabajo de búsqueda constante de amenazas digitales en línea, la investigadora de seguridad Jamila Kaya se topó con la primera de una serie de extensiones maliciosas de Google Chrome que provocarían una investigación de dos meses y conducirían a la eliminación de Google de más de 500 extensiones de su tienda web. Desafortunadamente, más de 1.7 millones de usuarios de Chrome ya habían instalado ese primer lote de extensiones que encontró, lo que le dio cierta urgencia a esta investigación, cuyos resultados se revelaron en un informe recientemente publicado sobre lo que resultó ser una gran operación de malware activa por al menos dos años.

Después de su descubrimiento inicial, Kaya contactó al equipo de seguridad de Duo en Cisco, según el informe. Ella los contactó acerca de una variedad de extensiones de Chrome que encontró que infectaban a los navegadores y que "filtrarían datos como parte de una campaña más grande".

"Estas extensiones se presentaron comúnmente como anuncios publicitarios como un servicio", señala el informe. “Jamila descubrió que formaban parte de una red de complementos copycat que compartían una funcionalidad casi idéntica. A través de la colaboración, pudimos tomar las pocas docenas de extensiones y utilizar CRXcavator.io para identificar 70 que coinciden con sus patrones en 1,7 millones de usuarios y aumentar las preocupaciones a Google ".

El equipo de Duo continúa explicando que los malos actores utilizan cada vez más la actividad legítima de Internet para ocultar sus acciones maliciosas, uno de los canales más populares es el uso de cookies publicitarias y los redireccionamientos dentro de ellos. Es una técnica llamada "publicidad maliciosa" que es sorprendentemente difícil de detectar. "La publicidad maliciosa a menudo ocurre dentro de otros programas, actuando como un vehículo para múltiples formas de actividad fraudulenta, incluyendo fraude publicitario, exfiltración de datos, phishing y monitoreo y explotación", continúa el informe. "Alternativamente, también surge en campañas maliciosas de varias partes que involucran la recopilación de publicidad y defraudación".

El código dentro de estas extensiones maliciosas a veces redirige a los usuarios a un enlace de afiliado en sitios como Best Buy o Macy. Otras veces, el destino puede ser un sitio de descarga de malware. Los investigadores dijeron que Google respondió cuando les plantearon el asunto, y un portavoz de Google dijo que siempre toma medidas cuando la comunidad de investigadores lo alerta sobre problemas que violan las políticas de la compañía. Además, Google dijo que realiza "barridos regulares para encontrar extensiones" similares a estos que utilizan técnicas, códigos y comportamientos comparables.

Fuente de la imagen: Valentin Wolf / imageBROKER / Shutterstock