Como resultado de una investigación, Google ha eliminado más de 500 extensiones fraudulentas de Chrome Web Store que robaban datos de los usuarios entre otras actividades maliciosas.
La investigadora de seguridad Jamila Kaya, haciendo uso de la herramienta CRXcavator.io de Duo Security de Cisco para evaluar la seguridad de extensiones de Chrome, descubrió una serie de extensiones de Chrome que inyectaban anuncios maliciosos y desviaban los datos de navegación de los usuarios a servidores bajo el control de los atacantes.
Jamila contactó con Duo Security para exponer su descubrimiento y, tras una investigación adicional, se descubrió la existencia de 70 extensiones de Chrome que coincidían con el mismo patrón. Estas extensiones, con más de 1,7 millones de instalaciones, formaban parte de una campaña de malvertising –uso de anuncios publicitarios para difundir malware, phishing, fraudes online, etc.– que ha estado funcionando al menos desde el mes de enero de 2019, aunque existen evidencias que señalan la posibilidad de que la actividad maliciosa se remonte varios años atrás.
Los desarrolladores habían creado específicamente extensiones para Chrome que funcionaban bajo la apariencia servicios de publicidad y promociones pero ofuscando dicha funcionalidad con el objetivo de conectar los clientes del navegador a una arquitectura de control y comando, filtrar datos de navegación privados sin el conocimiento de los usuarios, exponer al usuario al riesgo de explotación e infección de malware a través de flujos de publicidad y tratar de evadir los mecanismos de detección de fraude implementados en la Chrome Web Store. Todas ellas tenían un código fuente casi idéntico pero diferían en los nombres de las funciones para intentar dificultar su detección.
El nivel de permisos solicitado era alto e idéntico entre todas las extensiones, lo que les otorgaba acceso al portapapeles, a todas las cookies almacenadas localmente, y a una gran cantidad de datos en el navegador.
Los dominios para los sitios externos con los que cada extensión contactaba hacían referencia a su nombre para aparentar legitimidad y, en caso de detectarse una sandbox, se realizaba una redireción a otro sitio.
Una vez que la máquina del usuario afectado entraba en contacto con el sitio web de la extensión, entraban en juego tres dominios referenciados en el código fuente, que operaban como centros de comando y control y en los que el host del usuario se registraba regularmente para recibir nuevas instrucciones, ubicaciones para cargar datos, nuevas listas de dominios y feeds para anuncios maliciosos, y futuras redirecciones que posteriormente conducirían las sesiones de navegación de los usuarios a una combinación de sitios legítimos y de phishing (entre el 60 y 70% de las ocasiones se hacía referencia a un sitio malicioso).
Al compartir el resultado de la investigación con Google, la compañía logró identificar varios cientos de extensiones adicionales y en total han sido desactivadas más de 500 extensiones para el navegador Chrome.
Esta no es la primera vez que se descubren extensiones de robo de datos en el navegador Chrome: en julio del pasado año, el investigador de seguridad Sam Jadali y The Washington Post descubrieron una fuga de datos masiva llamada DataSpii perpetrada por extensiones de Chrome y Firefox instaladas en 4 millones de navegadores de los usuarios. Estas recopilaban actividad de navegación, incluida información de identificación personal y la compartían con un agente de datos externo no identificado que a su vez la pasaba a una empresa de análisis llamada Nacho Analytics, la cual vendía estos datos recopilados a sus suscriptores en tiempo casi real.
Como respuesta a ese incidente, Google comenzó a exigir que las extensiones solicitasen acceso a «menor cantidad de datos» a partir del 15 de octubre de 2019, y prohibiendo cualquier extensión que no tuviese una política de privacidad y recopilase datos sobre los hábitos de navegación de los usuarios.
Una vez más ha quedado demostrado que ningún sistema es invulnerable, ni aunque detrás se encuentren empresas como Google. Por ello, desde Hispasec recomendamos ser precavidos y revisar los permisos solicitados por las extensiones antes de instalarlas en el navegador y, en caso de sospecha, buscar otra alternativa.
Más información:
Security Researchers Partner With Chrome To Take Down Browser Extension Fraud Network Affecting Millions of Users
https://duo.com/labs/research/crxcavator-malvertising-2020
Deja una respuesta