viernes, 2 de junio de 2023

Extensiones maliciosas de Chrome con 75 millones de instalaciones eliminadas de Web Store

Google ha eliminado de Chrome Web Store 32 extensiones maliciosas que podrían alterar los resultados de búsqueda y generar spam o anuncios no deseados. En conjunto, vienen con un recuento de descargas de 75 millones.

Las extensiones presentaban una funcionalidad legítima y la denuncia es para mantener a los usuarios al tanto del comportamiento malicioso que venía en el código ofuscado para entregar las cargas útiles.

El investigador de ciberseguridad Wladimir Palant analizó la extensión PDF Toolbox (2 millones de descargas) disponible en Chrome Web Store y descubrió que incluía un código disfrazado como un envoltorio API de extensión legítimo.

En un artículo  de mediados de mayo, el investigador explica que el código permitía que el dominio “serasearchtop[.]com” inyectara código JavaScript arbitrario en cualquier sitio web visitado por el usuario.

El potencial de abuso va desde la inserción de anuncios en páginas web hasta el robo de información confidencial. Sin embargo, Palant no observó ninguna actividad maliciosa, por lo que el propósito del código no quedó claro.

El investigador también notó que el código estaba configurado para activarse 24 horas después de instalar la extensión, un comportamiento que generalmente se asocia con intenciones maliciosas.

Hace unos días, Palant hizo  una publicación de seguimiento  sobre el caso para alertar que había descubierto el mismo código sospechoso en otras 18 extensiones de Chrome con un recuento total de descargas de 55 millones. Algunos ejemplos incluyen:

  • Autoskip para Youtube: 9 millones de usuarios activos
  • Soundboost: 6,9 millones de usuarios activos
  • Bloque Crystal Ad: 6,8 millones de usuarios activos
  • VPN rápida: 5,6 millones de usuarios activos
  • Clipboard Helper: 3,5 millones de usuarios activos
  • Maxi Refresher: 3,5 millones de usuarios activos

En el momento en que Palant hizo la segunda publicación, todas las extensiones aún estaban disponibles en Chrome Web Store.

La más popular de las extensiones maliciosas La más popular de las extensiones maliciosas (Avast)

 

Continuando con su investigación, Palant encontró dos variantes del código: una que se hace pasar por la API Polyfill del navegador WebExtension de Mozilla y otra que se hace pasar por la biblioteca Day.js.

Sin embargo, ambas versiones presentaban el mismo mecanismo de inyección de código JS arbitrario que involucraba serasearchtop[.]com.

Aunque el investigador no observó ninguna actividad maliciosa clara, señaló que hay numerosos informes de usuarios y reseñas en la tienda web que indican que las extensiones estaban realizando redirecciones y secuestrando resultados de búsqueda.

A pesar de sus intentos de informar las extensiones sospechosas a Google, continuaron estando disponibles para los usuarios desde Chrom Web Store.

Sin embargo, hoy temprano, la compañía de ciberseguridad Avast dijo que informó las extensiones a Google después de confirmar su naturaleza maliciosa y amplió la lista a 32 entradas. Colectivamente, estos contaban con 75 millones de instalaciones.

Avast dice que, si bien las extensiones parecen inofensivas para los usuarios desprevenidos, son programas publicitarios que secuestran los resultados de búsqueda para mostrar enlaces patrocinados y resultados pagos, y en ocasiones incluso sirven enlaces maliciosos.

En respuesta a una solicitud de comentarios antes de que Avast publicara sus hallazgos, un portavoz de Google dijo que "las extensiones informadas se eliminaron de Chrome Web Store".

“Nos tomamos en serio los reclamos de seguridad y privacidad contra las extensiones, y cuando encontramos extensiones que violan nuestras políticas, tomamos las medidas apropiadas”.

"Chrome Web Store tiene políticas implementadas para mantener a los usuarios seguros que todos los desarrolladores deben cumplir", dijo el representante de Google.

Avast destaca el impacto significativo de las extensiones, que se dirigieron a decenas de miles de sus clientes y potencialmente a millones en todo el mundo.

Para sus clientes, Avast neutralizó selectivamente solo los elementos maliciosos dentro de las extensiones, lo que permitió que las funciones legítimas siguieran funcionando sin interrupciones.

Si bien los 75 millones de descargas parecen preocupantes, la empresa sospecha que el recuento fue "inflado artificialmente". Puede encontrar una lista completa de las extensiones (ID) maliciosas en el informe de Avast .  

Los usuarios deben tener en cuenta que la eliminación de las extensiones de Chrome Web Store no las desactiva o desinstala automáticamente de sus navegadores, por lo que se requiere una acción manual para eliminar el riesgo.

Ir al Inicio