57 extensiones sospechosas de Chrome alcanzan los seis millones de instalaciones

57 extensiones sospechosas de Chrome alcanzan los seis millones de instalaciones.

Investigadores de ciberseguridad descubrieron 57 extensiones sospechosas en la tienda oficial Chrome Web Store con más de seis millones de usuarios. Los complementos les llamaron la atención porque los permisos que solicitan no coinciden con sus descripciones.

Además, estas extensiones están “ocultas”, lo que significa que no se muestran en las búsquedas de Chrome Web Store y los motores de búsqueda no las indexan. La instalación de un complemento de este tipo requiere un enlace directo al mismo en Chrome Web Store. En esta publicación te contamos por qué las extensiones pueden ser una herramienta peligrosa en manos de ciberdelincuentes, explicamos la amenaza directa que representan estos complementos recientemente descubiertos y te damos consejos para evitar convertirte en una víctima.

Por qué las extensiones son peligrosas y cómo la comodidad debilita la seguridad

Ya hablamos muchas veces sobre los motivos por los cuales las extensiones de navegador no deben instalarse sin pensar. Los complementos del navegador suelen ayudar a los usuarios a agilizar tareas rutinarias, como traducir la información de los sitios web o comprobar la ortografía; sin embargo, los minutos que se ahorran suelen ser a costa de la privacidad y la seguridad.

Esto se debe a que, para funcionar de forma eficaz, las extensiones normalmente necesitan acceder a todo lo que haces en el navegador. Incluso Google Translate solicita permiso para “Leer y cambiar todos tus datos en todos los sitios web” que visitas, es decir, no solo puede supervisar lo que haces en línea, sino también modificar cualquier información en una página. Por ejemplo, podría mostrar una traducción en lugar del texto original. Si eso es lo que puede hacer un traductor en línea, ¡imagínate lo que puede hacer una extensión maliciosa con el mismo acceso!

El problema es que la mayoría de los usuarios desconocen los riesgos que suponen los complementos. Mientras que los archivos ejecutables de fuentes no confiables se consideran potencialmente peligrosos, las extensiones del navegador gozan de un amplio nivel de confianza, especialmente si se descargan de una tienda oficial.

Demasiados permisos innecesarios

En el caso de las 57 extensiones sospechosas encontradas en Chrome Web Store, el principal indicio de intenciones maliciosas fue la amplia variedad de permisos solicitados, como el acceso a las cookies, incluidas las de autenticación.

En la práctica, esto les permite a los atacantes robar cookies de sesión de los dispositivos de las víctimas, que se utilizan para evitar introducir una contraseña cada vez que visitan un sitio web. Estas cookies también les permiten a los estafadores iniciar sesión en las cuentas personales de las víctimas en las redes sociales o en las tiendas online.

Ejemplo de extensión sospechosa en Chrome Web Store

Browser Checkup for Chrome by Doctor es una de las extensiones sospechosas que se hace pasar por un “antivirus” para el navegador. Fuente.

Además, los permisos solicitados les otorgan a las extensiones maliciosas una serie de capacidades interesantes, que incluyen lo siguiente:

  • Seguimiento de las acciones del usuario en Chrome
  • Cambio del motor de búsqueda predeterminado y modificación de los resultados de búsqueda
  • Inyección y ejecución de scripts en las páginas que visitan los usuarios
  • Activación remota del seguimiento avanzado de las acciones del usuario

Cómo se inició la investigación

El investigador de ciberseguridad John Tuckner siguió la pista de las extensiones sospechosas después de examinar el código de una de ellas: Fire Shield Extension Protection. Tuckner detectó inicialmente esta extensión porque estaba publicada en la tienda oficial de Chrome como oculta: no aparecía en los resultados de búsqueda y solo se podía acceder a ella a través de un enlace directo a la página en Chrome Web Store.

Ten en cuenta que las extensiones y aplicaciones ocultas en las tiendas oficiales no son inusuales. Las grandes plataformas les permiten a los desarrolladores ocultarlas de los ojos de los usuarios comunes. Esta práctica tiende a ser dominio exclusivo de los propietarios de software corporativo privado y está destinada únicamente a los empleados de una empresa en particular. Otra razón válida para ocultar un producto es cuando aún se encuentra en la etapa de desarrollo.

Sin embargo, estas dos explicaciones podrían descartarse en el caso de Fire Shield Extension Protection, que cuenta con más de 300 000 usuarios: ¿una herramienta corporativa privada en la etapa de desarrollo con esa base de usuarios? No es probable.

Cantidad de usuarios de extensiones sospechosas

Extensiones sospechosas con 200 a 300 mil usuarios cada una. Fuente.

Además, las características del complemento no encajaban en el perfil de una solución corporativa altamente especializada: la descripción decía que Fire Shield comprueba los permisos solicitados por otras extensiones instaladas por el usuario y advierte de los complementos no seguros.

Para realizar tales tareas, solo necesitaba permiso para usar la API chrome.management, que le permitiría obtener información y administrar otros complementos instalados. Pero Fire Shield quería derechos mucho más amplios, los cuales enumeramos más arriba con una descripción de las amenazas asociadas a este nivel de acceso.

El complemento sospechoso solicita permisos demasiado amplios

El complemento sospechoso requiere demasiados permisos, incluido el acceso a todos los sitios, las cookies y la actividad del usuario. Fuente.

57 complementos disfrazados de herramientas legítimas

Al analizar Fire Shield Extension Protection, Tuckner encontró una pista que condujo a 35 complementos sospechosos más. Entre los enlaces extraídos del código de extensión, notó un dominio llamado unknow[.]com (aparentemente un error ortográfico de “unknown” [desconocido]). Un error de escritura en un dominio es una señal de alerta para cualquier experto en ciberseguridad, ya que es un truco común utilizado por los estafadores, que esperan que la víctima no se dé cuenta.

Usando una herramienta especial, Tuckner encontró 35 extensiones más asociadas con el mismo dominio sospechoso. Los nombres de las extensiones también tenían mucho en común, lo que confirmaba su conexión. Y todos solicitaron derechos de acceso amplios que no coincidían con la descripción indicada.

Extensiones asociadas con el dominio sospechoso unknow[.]com

Extensiones asociadas al dominio unknow[.]com, que puso en marcha la investigación de John Tuckner. Fuente.

La mayoría de las extensiones sospechosas que encontró Tuckner tenían un conjunto bastante estándar de funciones descritas: bloqueo de anuncios, mejora de los resultados de búsqueda y protección de la privacidad del usuario. En realidad, sin embargo, muchos carecían del código para realizar estas tareas. Algunas de las extensiones provienen de las mismas empresas.

Otras investigaciones llevaron a Tuckner a descubrir otros 22 complementos sospechosos, algunos de los cuales estaban a disposición del público (no ocultos). Aquí está la lista completa de ellos; a continuación, solo brindamos las extensiones ocultas con la mayor cantidad de descargas:

  • Fire Shield Extension Protection (300 000 usuarios)
  • Total Safety for Chrome (300 000 usuarios)
  • Protecto for Chrome (200 000 usuarios)
  • Securify for Chrome (200 000 usuarios)
  • Choose Your Chrome Tools (200 000 usuarios)

Resultados

Toda la evidencia apunta a que los atacantes ocultan sus complementos maliciosos para evitar ser detectados por los moderadores oficiales de la tienda. Al mismo tiempo, estas extensiones a menudo se distribuyen a través de anuncios de búsqueda o sitios maliciosos.

Los investigadores no encontraron instancias de extensiones sospechosas detectadas que roben contraseñas de usuario o cookies. Luego de un estudio detallado del código, además de una serie de experimentos, llegaron a la conclusión de que el seguimiento ampliado de la actividad del usuario no comienza inmediatamente, sino algún tiempo después de la instalación de la extensión, y puede iniciarse mediante un comando desde un servidor remoto.

La naturaleza de su código, la opción de control remoto, sus patrones de comportamiento repetidos y la funcionalidad incrustada nos llevan a concluir que las extensiones pertenecen a la misma familia de spyware o programas de robo de datos. Por ello, te aconsejamos lo siguiente:

  • Comprueba tu dispositivo en busca de extensiones sospechosas (consulta la lista completa).
  • Descarga solo aquellas extensiones que realmente necesites; revisa periódicamente la lista en tu navegador y elimina inmediatamente las que no utilices o las sospechosas.
  • Instala una solución de seguridad confiable en todos tus dispositivos para que te advierta de cualquier peligro a tiempo.

Los complementos del navegador son más peligrosos de lo que parecen. Lee también:

Consejos
Suscríbete para recibir nuevas publicaciones en tu buzón
  • Para el resto de países