A día de hoy, ya se han identificado ocho extensiones de Chrome diferentes que han caído en la misma trampa: el atacante envíaba un correo electrónico a los desarrolladores de estas extensiones haciéndose pasar por Google, y a través de esta técnica de phishing conseguía la contraseña necesaria para acceder a la cuenta de sus víctimas. Después, simplemente actualizaba las extensiones para introducir su código malicioso y, en la gran mayoría de los casos, durante las siguientes semanas los usuarios de las extensiones infectadas no eran ni siquiera conscientes de que habían caído en una trampa.
Estas ocho extensiones infectadas de Chrome incluyen complementos tan populares como el de Chrometana (descargada hasta ahora por más de 600.000 usuarios), Infinity New Tab (+400.000 usuarios) o Social Fixer, pasando también por otras menos conocidas como Web Paint (más de 50.000 usuarios) o diferentes servicios de VPN. En total, si se suman los usuarios de todas las extensiones afectadas por el ataque, hay más de cuatro millones de usuarios que están (o han estado) expuestos a la amenaza.
Google hace semanas que empezó a distribuir un correo electrónico alertando a los desarrolladores de extensiones para Chrome de que extremaran las precauciones debido a los múltiples intentos de phishing que se habían reportado en las últimas semanas, pero eso de poco ha servido para los programadores que ya habían caído en la trampa. El ataque empezó a cosechar sus primeros éxitos con extensiones como Copyfish, cuyo desarrollador puso -sin ser conciente de ello- en manos de los hackers los datos de acceso de su cuenta, dejando en el aire la seguridad de los más de 35 mil usuarios de su extensión.
Principalmente, el objetivo de todo el ataque era -y sigue siendo- introducir anuncios de los atacantes en todas las páginas web que visite la víctima. Lo que hace el código malicioso es sustituir cualquier anuncio legítimo por anuncios conectados a la cuenta de los atacantes, de forma que éstos se llevan todos los ingresos que genera la publicidad que normalmente se muestra a un usuario a medida que navega por la red.
La lista de las extensiones de Chrome infectadas por este ataque incluye, de momento, los siguientes nombres: Chrometana (en la versión 1.1.3), Infinity New Tab (en la 3.12.3), Web Paint (en la 1.2.1), Social Fixer (en la 20.1.1), TouchVPN y Betternet VPN. Si tienes instalada alguna de estas extensiones con la versión afectada por el ataque, lo más recomendable es que procedas a eliminarla de Chrome cuanto antes.
De momento, no parece que haya afectadas más extensiones relativamente populares de Chrome por esta técnica, pero cualquier usuario de este navegador debería extremar las precauciones para estar atento en caso de que de un día para otro empiece a ver pop-ups y anuncios molestos en páginas que hasta ese momento no habían mostrado ese tipo de publicidad.
