Debido a que Google Chrome es el navegador de Internet líder del mercado, y con diferencia, sobre el resto, los ciberatacantes intentan acceder a los datos personales de sus usuarios a través de este software tan extendido, como vamos a ver de nuevo en este caso.
Y es que apenas unas semanas después de que los investigadores de Princeton advirtieran a los usuarios de los peligros de los ataques denominados como ”Session Replay“, los desarrolladores de extensiones maliciosas para el navegador de Google ya las están incorporando en sus últimas versiones.
Este es un término que se refiere a un código JavaScript que registra la actividad del usuario y luego la reproduce para los atacantes. En los últimos años, las empresas de analítica web han añadido soporte para estas características en su panel de control, permitiendo a los propietarios de sitios web analizar cómo los usuarios estaban utilizando su portal de Internet, herramientas consideradas como muy valiosas, siempre y cuando se usen por razones legítimas.
Sin embargo a lo largo de las últimas semanas, varias extensiones de Chrome maliciosas han comenzado a implementar una biblioteca JavaScript proporcionada por el proveedor de analítica web Yandex Metrica, que registra las acciones de los usuarios en todos los sitios que visitan. Hay que tener en cuenta que, si bien Yandex Metrica no graba el texto tecleado en los campos de contraseña, el propio script sí que puede registrar otras informaciones como nombres de usuario, números de tarjetas de crédito, números CVV, direcciones de correo electrónico, o números de teléfono.
Trend Micro muestra todas las extensiones maliciosas detectadas en Chrome
Por tanto ya se han detectado algunas extensiones maliciosas en Google Chrome que hacen uso de este código JavaScript de manera ilícita para que así los atacantes puedan hacerse con información confidencial de los usuarios, entre otras acciones.
En concreto se han encontrado un total de 89 de estas extensiones con malware, que además ya cuentan con casi medio millón de descargas e instalaciones en los equipos de los usuarios, entre las que se encuentran Strawberry Daiquiri Cocktail, BrowserWatch, 11 Pumpkin Flavored Foods, To Deodorize Laundry, por ejemplo.
La popular empresa de ciberseguridad estadounidense Trend Micro, acaba de publicar una lista con los nombres de estas extensiones de Chrome, listado que puedes consultar en este enlace. Por tanto, aquellos que encuentren que han instalado cualquiera de estas extensiones, deberán desinstalarlas de inmediato.
De hecho la propia firma de seguridad cree que estas extensiones fueron creadas por el mismo grupo, el llamado Droidclub, y tienen una infraestructura de servidor C&C, ya que los scripts de grabación y reproducción de datos no son el único código malicioso que implementan en los navegadores Chrome de las víctimas. Además, otro de los propósitos del ataque es inyectar publicidad en todas las páginas que un usuario visita, para beneficio del propio grupo Droidclub.
