500 extensiones de Chrome cargan en secreto datos privados de millones de usuarios

Más de 500 extensiones de navegador descargadas millones de veces de Chrome Web Store de Google subieron subrepticiamente datos privados de navegación a servidores controlados por atacantes, dijeron investigadores el jueves.

Las extensiones formaron parte de un esquema de publicidad y fraude publicitario de larga data que fue descubierto por el investigador independiente Jamila Kaya. Ella y los investigadores de Duo Security, propiedad de Cisco, finalmente identificaron 71 extensiones de Chrome Web Store. Estas ten√≠an m√°s de 1.7 millones de instalaciones. Despu√©s de que los investigadores informaron en privado sus hallazgos a Google, la compa√Ī√≠a identific√≥ m√°s de 430 extensiones adicionales. Desde entonces, Google ha eliminado todas las extensiones conocidas.

¬ęEn el caso reportado aqu√≠, los creadores de extensiones de Chrome hab√≠an hecho espec√≠ficamente extensiones que ofuscaron la funcionalidad publicitaria subyacente de los usuarios¬Ľ, escribieron en un informe Jacob Rickerd, investigador de Kaya y Duo Security. ¬ęEsto se hizo para conectar a los clientes del navegador a una arquitectura de comando y control, extraer datos de navegaci√≥n privados sin el conocimiento de los usuarios, exponer al usuario al riesgo de explotaci√≥n a trav√©s de flujos de publicidad e intentar evadir los mecanismos de detecci√≥n de fraude de Chrome Web Store . ¬ę

Un laberinto de redireccionamientos, malware y m√°s

500 extensiones de Chrome cargan en secreto datos privados de millones de usuarios

Las extensiones se presentaron principalmente como herramientas que proporcionaban varias utilidades de promoción y publicidad como servicio. De hecho, se involucraron en fraude publicitario y publicidad maliciosa al barajar navegadores infectados a través de un laberinto de dominios incompletos. Cada complemento se conectó primero a un dominio que usaba el mismo nombre que el complemento (por ejemplo: Mapstrek [.] Com o ArcadeYum [.] Com) para verificar si hay instrucciones para desinstalarse.

Luego, los complementos redirigieron los navegadores a uno de los pocos servidores de control codificados. ¬ŅPara qu√©? Para recibir instrucciones adicionales, ubicaciones para cargar datos, listas de fuentes de publicidad y dominios para futuras redirecciones. Los navegadores infectados luego cargaron los datos del usuario. Posteriormente, actualizaron las configuraciones de los complementos y fluyeron a trav√©s de un flujo de redirecciones del sitio.

El informe del jueves continuó:

El usuario recibe regularmente nuevos dominios redireccionadores. ¬ŅPor qu√©? Porque se crean en lotes, y se crean m√ļltiples de los dominios anteriores en el mismo d√≠a y hora. Todos operan de la misma manera, reciben la se√Īal del host y luego los env√≠an a una serie de secuencias de anuncios. Posteriormente, a anuncios leg√≠timos e ileg√≠timos. Algunos de estos se enumeran en la secci√≥n ¬ęDominios finales¬Ľ de los COI. Aunque son demasiado numerosos para enumerarlos.

Muchas de las redirecciones llevaron a anuncios benignos para productos de Macy’s, Dell y Best Buy. Lo que hizo que el esquema fuera malicioso y fraudulento fue (a) el gran volumen de contenido del anuncio (hasta 30 redirecciones en algunos casos), (b) la ocultaci√≥n deliberada de la mayor√≠a de los anuncios de los usuarios finales y (c) el uso del anuncio redirigir transmisiones para enviar navegadores infectados a sitios de malware y phishing. Dos muestras de malware vinculadas a los sitios de complementos fueron:

  • ARCADEYUMGAMES.exe, que lee las claves relacionadas con el servicio de terminal. Tambi√©n accede a informaci√≥n potencialmente confidencial de los navegadores locales.
  • MapsTrek.exe, que tiene la capacidad de abrir el portapapeles.

Todos los sitios menos uno utilizados en el esquema no fueron previamente clasificados como maliciosos o fraudulentos por los servicios de inteligencia de amenazas. La excepción fue el estado de Missouri, que enumeró DTSINCE [.] Com, uno de los pocos servidores de control codificados, como sitio de phishing.

Los investigadores encontraron evidencia de que la campa√Īa ha estado operando desde al menos enero de 2019 y creci√≥ r√°pidamente, particularmente de marzo a junio. Es posible que los operadores estuvieran activos durante un per√≠odo mucho m√°s largo, posiblemente ya en 2017.

Si bien cada uno de los 500 complementos parec√≠a ser diferente, todos conten√≠an un c√≥digo fuente casi id√©ntico. Eso s√≠, con la excepci√≥n de los nombres de las funciones, que eran √ļnicos. Kaya descubri√≥ los complementos maliciosos con la ayuda de CRXcavator, una herramienta para evaluar la seguridad de las extensiones de Chrome. Fue desarrollado por Duo Security y se puso a disposici√≥n gratuitamente el a√Īo pasado. Casi ninguno de los complementos tiene calificaciones de usuarios, un rasgo que dej√≥ a los investigadores inseguros de c√≥mo se instalaron las extensiones. Google agradeci√≥ a los investigadores por informar sus hallazgos.

Cuidado con las extensiones de Chrome

Resultado de imagen de extensiones de Chrome malware

Este √ļltimo descubrimiento se produce siete meses despu√©s de que un investigador independiente diferente documentara extensiones de navegador que levantaron los historiales de navegaci√≥n de m√°s de 4 millones de m√°quinas infectadas. Si bien la gran mayor√≠a de las instalaciones afectaron a los usuarios de Chrome, algunos usuarios de Firefox tambi√©n fueron barridos. Nacho Analytics, la compa√Ī√≠a que agreg√≥ los datos y los vendi√≥ abiertamente, cerr√≥ despu√©s de la cobertura de Ars de la operaci√≥n.

El informe del jueves tiene una lista de 71 extensiones maliciosas, junto con sus dominios asociados. Tras una larga pr√°ctica, Google no identific√≥ ninguna de las extensiones o dominios que encontr√≥ en su propia investigaci√≥n. Los ordenadores que ten√≠an uno de los complementos recibieron una notificaci√≥n emergente que dec√≠a que se hab√≠a ¬ędeshabilitado autom√°ticamente¬Ľ. Las personas que siguieron un enlace recibieron una advertencia roja que dec√≠a: ¬ęEsta extensi√≥n contiene malware¬ę.

El descubrimiento de extensiones de navegador m√°s maliciosas y fraudulentas es un recordatorio de que las personas deben tener cuidado al instalar estas herramientas y usarlas solo cuando brinden un beneficio real. Siempre es una buena idea leer las rese√Īas de los usuarios para buscar informes de comportamiento sospechoso. Las personas deben verificar peri√≥dicamente las extensiones que no reconocen o no han utilizado recientemente y eliminarlas.

:)