Extensiones de Chrome con millones de instalaciones roban datos de navegación
Los analistas de amenazas de McAfee encontraron cinco extensiones de Google Chrome que rastrean y roban las actividades de navegación de los usuarios. En conjunto, las extensiones se han descargado más de 1.4 millones de veces.
El propósito de las extensiones maliciosas es monitorear cuando los usuarios visitan sitios web de comercio electrónico y modificar la cookie del visitante para que aparezca como si viniera a través de un enlace de referencia. Por esto, los autores de las extensiones obtienen una ganancia de afiliado por cualquier compra en tiendas electrónicas.
Las cinco extensiones maliciosas que descubrieron los investigadores de McAfee son las siguientes:
- Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800,000 descargas
- Netflix Party 2 (flijnhifgdcbhglkneplegafminjnhn) – 300,000 descargas
- Full Page Screenshot Capture – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200,000 descargas
- FlipShope – Price Tracker Extension (adikhbfjdbjkhelbdnffogkobkekkkej) – 80,000 descargas
- AutoBuy Flash Sales (gbnahglfafmhaehbdmjedfhdmimjcbed): 20,000 descargas
Vale la pena señalar que las extensiones anteriores cuentan con la funcionalidad prometida, lo que dificulta que las víctimas noten la actividad maliciosa. Aunque su uso no afecta directamente a los usuarios, suponen un grave riesgo para la privacidad.
Los usuarios de las extensiones desconocen las funcionalidades maliciosas y el riesgo de privacidad de que cada sitio que se visita se envía a los servidores de los autores de la extensión.
Por lo tanto, si estás utilizando alguna de las extensiones listadas, incluso si encuentras útil su funcionalidad, te recomendamos eliminarlas de tu navegador de inmediato.
Cómo funcionan las extensiones
Las cinco extensiones descubiertas por McAfee tienen un comportamiento similar. El manifiesto de la aplicación web (archivo “manifest.json
“), que dicta cómo debe comportarse la extensión en el sistema, carga un script multifuncional (B0.js
) que envía los datos de navegación a un dominio que controlan los atacantes (“langhort[.] com
”).
Los datos se entregan a través de solicitudes POST cada vez que el usuario visita una nueva URL. La información que llega al estafador incluye la URL en formato base64, la identificación del usuario, la ubicación del dispositivo (país, ciudad, código postal) y una URL de referencia codificada.
Si el sitio web visitado coincide con alguna entrada en una lista de sitios web para los que el autor de la extensión tiene una afiliación activa, el servidor responde a B0.js con una de dos funciones posibles.
El primero, “Resultad['c'] – passf_url”
, ordena al script que inserte la URL proporcionada (enlace de referencia) como un iframe en el sitio web visitado.
El segundo, “Result['e'] setCookie
”, ordena a B0.js que modifique la cookie o la sustituya por la proporcionada si se ha concedido la extensión con los permisos asociados para realizar esta acción.
McAfee también publicó un video para mostrar cómo se producen las modificaciones de URL y cookies en tiempo real:
Para evadir la detección, el análisis y confundir a los investigadores o usuarios atentos, algunas de las extensiones presentan un retraso de 15 días desde el momento de su instalación antes de que comiencen a enviar la actividad del navegador.
Al momento de escribir esto, “Full Page Screenshot Capture – Screenshotting” y “FlipShope – Price Tracker Extension” todavía están disponibles en la Web Store de Chrome.
Las dos extensiones de Netflix Party se eliminaron de la tienda, pero esto no las elimina de los navegadores web, por lo que los usuarios deben realizar acciones manuales para desinstalarlas.
Precauciones
Esta investigación destaca el riesgo de instalar extensiones, incluso aquellas que tienen una gran cantidad de instalaciones ya que aún pueden contener código malicioso.
McAfee aconseja que seamos cautelosos al instalar extensiones de Chrome y prestar atención a los permisos que solicitan.
Chrome muestra los permisos antes de la instalación de la extensión. Los usuarios deben tomar medidas adicionales para verificar la autenticidad si la extensión solicita permisos que le permitan ejecutarse en cada sitio web que visites, como el que se detalla en esta publicación.