Las extensiones que podemos instalar en navegadores como Chrome o Firefox, pueden ser útiles. Permiten organizar pestañas, gestionar descargas o incluso las hay que mejoran la seguridad. Sin embargo, es bastante común encontrarnos con complementos falsos, creados simplemente para robar datos o contraseñas. Suele ocurrir al instalarlos desde fuentes no oficiales. En este caso, nos hacemos eco de numerosas extensiones de Chrome, disponibles en su tienda oficial, que realmente son maliciosas y tienen cientos de miles de descargas.
Concretamente, según investigadores de seguridad de Koi Security, que han detectado este problema, son 18 las extensiones fraudulentas. En total, entre usuarios de Chrome y también de Edge, son 2,3 millones los usuarios que han instalado estos complementos falsos, según el informe técnico de Koi Security presentado el 8 de julio. Hace unos meses vimos algo parecido y también afectó a numerosas extensiones de Chrome maliciosas.
Nuevas extensiones falsas se cuelan en Chrome
En la tienda oficial de Google Chrome podemos encontrar complementos de todo tipo que, previamente, han pasado un filtro. De hecho, puedes ver la verificación del propio navegador, lo que aporta confianza. Más aún si vemos que ha sido descargada decenas de miles de veces y tiene muchas y buenas valoraciones. Pero esto, como se ha comprobado, no garantiza nada.
Aparentemente, estas extensiones actúan con normalidad. Los usuarios las instalan y, en principio, funcionan correctamente. Las hay que sirven para cambiar el diseño del navegador, otras de pronóstico del tiempo, VPN para usar redes sociales, modificar el tema, etc. El problema es que, más allá de ofrecer una funcionalidad legítima, útil, también están implementando un troyano por detrás. Todo esto forma parte de la campaña denominada RedDirection.
Si la víctima instala esa extensión, de primeras no va a sospechar nada. Va a poder usarla con normalidad. Pero claro, ese complemento va a estar recopilando datos de navegación, espiando y, en definitiva, pone en riesgo la privacidad y seguridad. Tienen código malicioso oculto con la capacidad de capturar las direcciones de las páginas que visitas, enviar esa información a un servidor controlado por los atacantes e incluso redirigir a la víctima a otra web.
Esto último es muy peligroso. Imagina que estás entrando en una web conocida, legítima, pero terminas en otra fraudulenta, que va a ser una copia exacta. Puede ser Amazon, Netflix, tu banco… Entras en la URL real, pero esa extensión, automáticamente, hace que tu navegador te redirija a otra página falsa, que va a ser una copia exacta de la verdadera. Al iniciar sesión o realizar un pago, todo eso va a filtrarse a los cibercriminales. En algunos casos pueden ser complementos que prometen bloquear ventanas emergentes.
También puede pasar que recibas un enlace para utilizar alguna aplicación, como puede ser un link para iniciar una videollamada a través de Zoom. La extensión detecta esto y te redirige a otra web, no a la oficial de Zoom. Ahí te indicará que necesitas actualizar Zoom, ya que estás usando una versión obsoleta, y te invita a descargar la nueva versión que, en realidad, es un malware.
No son complementos maliciosos desde el principio
Algo que llama la atención a los investigadores de seguridad, es que estas extensiones no son maliciosas desde el principio. Es decir, durante un tiempo van a ser complementos legítimos, comunes, que funcionen bien y sin comprometer la seguridad de los usuarios. De hecho, podían pasar incluso años hasta que empezaban a ser un problema.
Los piratas informáticos, a través de actualizaciones de esos complementos, implementaban código malicioso. Desde ese momento, las extensiones pasaban a tener como objetivo robar información de forma silenciosa, sin que los atacantes tuvieran que lanzar ataques Phishing o estrategias de ingeniería social.
Si llevas tiempo utilizando una extensión, ha funcionado bien y no notas nada raro, nunca vas a desconfiar. Por tanto, es un caballo de Troya perfecto para los cibercriminales. Han conseguido su objetivo y sin levantar sospechas.
Dentro de las extensiones que forman parte de esta campaña maliciosa, podemos nombrar las siguientes:
- Color Picker, Eyedropper – Geco Colorpick
- Emoji keyboard online – copy&paste your emoji
- Free Weather Forecast
- Video Speed Controller – Video manager
- Unlock Discord – VPN proxy to Unlock Discord Anywhere
- Unlock TikTok
- Unlock YouTube VPN
Qué hacer
Lo primero es que, en caso de tener alguna de estas extensiones instaladas, deberías eliminarlas lo antes posible. Revisa muy bien los complementos que tienes instalados, especialmente los antiguos, los que llevan ahí desde hace mucho tiempo, aunque no los utilices normalmente.
También te recomendamos que limites la instalación de complementos. Únicamente te aconsejamos tener los que realmente necesites en tu día a día. Siempre debes descargarlos desde fuentes oficiales, aunque, como has podido ver con esta campaña maliciosa, esto no hace que sea 100% seguro.
Otro consejo es tener tu dispositivo correctamente actualizado y con un buen antivirus, va a ser clave. Por un lado, podrás corregir vulnerabilidades que podrían explotar los cibercriminales. Por otra parte, el antivirus podrá ayudarte a detectar y eliminar malware muy variado que va a afectarte en tu día a día.
0 Commentaires