Detectadas extensiones maliciosas para Chrome y Microsoft Edge con más de 3 millones de instalaciones

Las extensiones de navegador con malware, alojadas en los portales Chrome Web Store y Microsoft Edge Add-ons, son capaces de robar información del usuario o redirigirlos a sitios de phishing.

El equipo de investigación de Avast Threat Intelligence ha detectado una serie de extensiones que están diseñadas para parecer utilidades de plataformas online como Instagram, Facebook o Vimeo. Aunque han sido detectadas en noviembre de 2020, se estima que algunas han estado activas desde 2018, dadas algunas reseñas negativas de usuarios afectados en las fichas de las extensiones en los markets. En conjunto, se estima que el número total de instalaciones de estas extensiones podrían afectar a más de 3 millones de usuarios.

El objetivo de esta campaña es principalmente monetizar el tráfico de los usuarios mediante redirecciones a dominios de terceros. Por cada una de estas redirecciones, el cibercriminal recibiría un pago. Sin embargo, como se ha mencionado previamente, las extensiones también son capaces de redirigir a las víctimas a sitios con publicidad o phishing. Jan Rubín, uno de los investigadores, comenta que hay puertas traseras en las extensiones bien escondidas y las extensiones empiezan a mostrar el comportamiento malicioso días después de la instalación, lo que dificulta su detección por cualquier software de seguridad.

“Los actores maliciosos también exfiltraban y recogían la fecha de nacimiento del usuario, direcciones de correo electrónico, así como información del dispositivo, incluyendo fecha y hora de inicio de sesión, último login, nombre del dispositivo, sistema operativo, versión del navegador, incluso direcciones IP que podrían ser utilizadas para geolocalizar al usuario de manera aproximada”.

Entre las tácticas utilizadas para evadir la detección, el malware monitoriza las búsquedas realizadas por la víctima y no se activará si están buscando información de uno de sus dominios. También evitan infectar a desarrolladores web, ya que se entiende que tienen conocimiento para localizar y examinar la actividad en segundo plano de las extensiones.

Jan Rubín también supone que o bien las extensiones fueron creadas con componentes maliciosos en ellas, o bien los atacantes esperaron a que tuvieran éxito y en ese momento las actualizaron con dichos componentes. También contempla la opción de que el autor vendiera las extensiones a un comprador que introdujo posteriormente el malware.

La lista de extensiones encontrada por Avast, estando algunas de ellas todavía disponibles, es la siguiente.

• Direct Message for Instagram
• Direct Message for Instagram
• DM for Instagram
• Invisible mode for Instagram Direct Message
• Downloader for Instagram (1,000,000+ users)
• Instagram Download Video & Image
• App Phone for Instagram
• App Phone for Instagram
• Stories for Instagram
• Universal Video Downloader
• Universal Video Downloader
• Video Downloader for FaceBook
• Video Downloader for FaceBook
• Vimeo Video Downloader (500,000+ users)
• Vimeo Video Downloader
• Volume Controller
• Zoomer for Instagram and FaceBook
• VK UnBlock. Works fast.
• Odnoklassniki UnBlock. Works quickly.
• Upload photo to Instagram
• Spotify Music Downloader
• Stories for Instagram
• Upload photo to Instagram
• Pretty Kitty, The Cat Pet
• Video Downloader for YouTube
• SoundCloud Music Downloader
• The New York Times News
• Instagram App with Direct Message DM

Tanto Google como Microsoft han sido contactadas por el equipo de Avast para eliminar estas extensiones de sus tiendas. Mientras tanto, se recomienda deshabilitar o desinstalar las extensiones maliciosas hasta que se resuelva la incidencia y posteriormente realizar un escaneo para eliminar el malware relacionado.

No es el primer caso que comentamos en una-al-día sobre extensiones maliciosas, hace unos meses Mozilla eliminó múltiples add-ons de Firefox de su repositorio, Google bloqueó más de 500 extensiones que robaban información de usuarios y en 2019 se detectaron extensiones para Chrome que se hacían pasar por AdBlockers con fines fraudulentos, lo que indica la tendencia de estos nuevos vectores de ataque que cada vez están ganando más popularidad.

Más información:

Third Party Browser Extensions for Instagram, Facebook, Vimeo and Others Infected with Malware https://press.avast.com/third-party-browser-extensions-from-instagram-facebook-vimeo-and-others-infected-with-malware