Google Elimina Extensiones Maliciosas de Chrome Con Más de 1.4 Millones de Descargas

Google ha eliminado 5 extensiones de navegador maliciosas de su Chrome Web Store que fueron descargadas colectivamente más de 1.4 millones de veces.

Los analistas de amenazas de McAfee descubrieron que estas extensiones de navegador que se hacían pasar por visualizadores de Netflix y otros estaban diseñadas para monitorear subrepticiamente las actividades de navegación de los usuarios.

Las extensiones de Chrome en cuestión son las siguientes:

• Netflix Party (mmnbenehknklpbendgmgngeaignppnbe) – 800,000 descargas

• Netflix Party 2 (flijfnhifgdcbhglkneplegafminjnhn) – 300,000 descargas

• FlipShope – Extensión de Seguimiento de Precios (adikhbfjdbjkhelbdnffogkobkekkkej) – 80,000 descargas

• Captura de Pantalla de Página Completa – Screenshotting (pojgkmkfincpdkdgjepkmdekcahmckjp) – 200,000 descargas

• AutoBuy Ventas Flash (gbnahglfafmhaehbdmjedfhdmimjcbed) – 20,000 descargas

Estas extensiones ofrecían varias funciones, como permitir a los usuarios ver programas de Netflix juntos, cupones de sitios web y tomar capturas de pantalla de un sitio web. Esta última tomó prestadas varias frases de otra extensión popular llamada GoFullPage.

Además de ofrecer la funcionalidad prevista, las extensiones también rastreaban la actividad de navegación del usuario. Según McAfee, cada sitio web que un usuario visitaba se enviaba a servidores propiedad del creador de la extensión para que pudieran insertar código en los sitios web de comercio electrónico que se estaban visitando. Esta acción luego modificaba las cookies en el sitio para que los autores de la extensión recibieran un pago de afiliado por cualquier artículo comprado.

“Los usuarios de las extensiones no son conscientes de esta funcionalidad y del riesgo de privacidad de que cada sitio visitado se envíe a los servidores de los autores de la extensión”, escribieron los investigadores de McAfee en su publicación de blog.

¿Cómo Funcionaban Las Extensiones?

Las 5 extensiones realizan un comportamiento similar. El manifiesto de la aplicación web (“archivo manifest.json”) establece la página de fondo como bg.html, que carga B0.js (script multifuncional) que envía los datos de navegación a un dominio que los atacantes controlan (“langhort[.]com”).

Los datos se entregan a través de solicitudes POST cada vez que el usuario visita una nueva URL. La información incluye la URL en forma base64, el ID del usuario, la ubicación del dispositivo (país, ciudad, código postal) y una URL de referencia codificada.

Al recibir la URL, langhort.com coincide con cualquier entrada en una lista de sitios web para los que tiene un ID de afiliado, y si lo tiene, el servidor responde a B0.js con una de las dos funciones posibles.

La primera función es, “Result[‘c’] – passf_url”, que verificará si la consulta respondió con una URL. Si lo hizo, insertaría la URL que se recibe del servidor como un Iframe en el sitio web visitado.

La segunda función, “Result[‘e’] setCookie”, ordena a B0.js que también modifique una cookie o la reemplace con la proporcionada para realizar ciertas acciones si la extensión ha recibido los permisos asociados.

McAfee también ha publicado un video que muestra cómo ocurren las modificaciones de URL y cookies en tiempo real:

Para evadir el análisis y prevenir que la actividad maliciosa sea identificada en entornos de análisis automatizados, algunas de las extensiones presentaron un retraso de 15 días desde el momento de su instalación para evitar levantar banderas rojas antes de que pudieran comenzar a enviar la actividad del navegador.

En el momento de escribir esto, todas las 5 extensiones maliciosas de Chrome han sido eliminadas de la Google Play Store. Sin embargo, esto no las elimina de los navegadores web. Por lo tanto, se recomienda a los usuarios desinstalarlas manualmente de sus dispositivos.