Las extensiones maliciosas de navegador Chrome y Edge con más de 3 millones de instalaciones, algunas de ellas todavía están disponibles en Chrome Web Store y el portal de complementos de Microsoft Edge, son capaces de robar información de los usuarios y redirigirlos a sitios de phishing.
Las extensiones con malware encontradas por los investigadores de Avast Threat Intelligence están diseñadas para parecerse a complementos de ayuda para Instagram, Facebook, Vimeo y otras plataformas en línea de alto perfil.
Actividad maliciosa que se remonta al menos a dos años
Si bien Avast detectó las extensiones en noviembre de 2020, estiman que podrían haberse utilizado con fines maliciosos durante años, dado que algunos revisores de Chrome Web Store han informado sobre el secuestro de enlaces a partir de diciembre de 2018.
Los investigadores de Avast también detectaron código malicioso para entregar cargas útiles de malware adicionales en los sistemas de los usuarios.
“Cada vez que un usuario hace clic en un enlace, las extensiones envían información sobre el clic al servidor de control del atacante, que opcionalmente puede enviar un comando para redirigir a la víctima desde el objetivo del enlace real a una nueva URL secuestrada antes de redirigirlos al sitio web real. querían visitarnos “, dice el informe.
“Los actores también filtran y recopilan las fechas de nacimiento, las direcciones de correo electrónico y la información del dispositivo del usuario, incluida la hora del primer inicio de sesión, la hora del último inicio de sesión, el nombre del dispositivo, el sistema operativo, el navegador utilizado y su versión, incluso las direcciones IP (que podrían ser utilizado para encontrar el historial de ubicación geográfica aproximada del usuario).
El objetivo final de los actores de amenazas detrás de estas extensiones de navegador web se centra en monetizar el tráfico de los usuarios redirigiéndolos automáticamente a dominios de terceros.
Sin embargo, como ya se mencionó anteriormente, estas extensiones también pueden redirigir a los objetivos infectados a sitios llenos de anuncios o utilizados como páginas de destino de phishing.
Es difícil detectar la actividad maliciosa
“Las puertas traseras de las extensiones están bien ocultas y las extensiones solo comienzan a mostrar un comportamiento malicioso días después de la instalación, lo que dificulta el descubrimiento de cualquier software de seguridad”, explicó el investigador de malware de Avast, Jan Rubín.
Dado que puede ocultarse, el malware inyectado dentro de las extensiones lo ha hecho mucho más difícil tanto para los investigadores como para los usuarios infectados.
Entre las tácticas utilizadas para evadir la detección, el malware monitoreará lo que buscan las víctimas y no se activará si están buscando información en uno de sus dominios.
También evitará infectar a los desarrolladores web que tienen el conocimiento para detectarlo y examinar la actividad maliciosa en segundo plano de las extensiones.
La lista completa de extensiones maliciosas de Chrome y Edge encontradas por Avast, algunas de ellas aún disponibles para descargar, se puede encontrar a continuación.
• Mensaje directo para Instagram
• Mensaje directo para Instagram ™
• DM para Instagram
• Modo invisible para mensaje directo de Instagram
• Descargador para Instagram
• Instagram Descargar video e imagen
• Aplicación de teléfono para Instagram
• Aplicación de teléfono para Instagram
• Historias para Instagram
• Descargador de video universal
• Descargador de video universal
• Descargador de videos para FaceBook ™
• Descargador de videos para FaceBook ™
• Descargador de videos Vimeo ™
• Descargador de videos Vimeo ™
• Controlador de volumen
• Zoomer para Instagram y FaceBook
• Desbloqueo de VK. Funciona rápido.
• Desbloqueo de Odnoklassniki. Funciona rapido.
• Subir foto a Instagram ™
• Descargador de música de Spotify
• Historias para Instagram
• Subir foto a Instagram ™
• Pretty Kitty, el gato mascota
• Descargador de videos para YouTube
• Descargador de música SoundCloud
• Noticias del New York Times
• Aplicación de Instagram con mensaje directo DM
“Nuestra hipótesis es que las extensiones se crearon deliberadamente con el malware integrado o el autor esperó a que las extensiones se hicieran populares y luego lanzó una actualización que contenía el malware”, concluyó el investigador de malware de Avast, Jan Rubín.
“También podría ser que el autor vendiera las extensiones originales a otra persona después de crearlas, y luego el comprador introdujo el malware”.
Tanto Microsoft como Google están investigando los hallazgos de Avasy pero, hasta que se eliminen, los usuarios deben deshabilitar o desinstalar las extensiones y luego buscar infecciones de malware.
