Extensiones de Google Chrome: cuidado con el secuestro de las búsquedas
Las extensiones de Google Chrome son, a la vez, una de las grandes virtudes del navegador web de Google, y un enorme problema de seguridad, que ha comprometido a sus usuarios en múltiples ocasiones. Hace unos meses, por ejemplo, la empresa del buscador tuvo que eliminar 49 de ellas, después de que investigadores de seguridad descubrieran que estaban siendo empleadas para intentar robar bitcoins a sus propietarios.
Es evidente que la primera interesada en que no se cuele ningún tipo de malware entre las extensiones de Google Chrome es la propia Google, puesto que el hallazgo de estos componentes malintencionados supone una merma en la confianza que tienen los usuarios en el navegador. Sin embargo, y dado el sistema de gestión de las mismas y la picaresca de los ciberdelincuentes, en ocasiones es muy complejo verificar al 100% la seguridad de cada una antes de publicarlas. Lo que hace que una parte de nuestra seguridad dependa de las empresas especializadas.
La última en haber actuado al respecto es Avast que, como podemos leer en este informe, ha identificado 28 extensiones de Google Chrome que bajo una piel de cordero en la que pretendían ofrecer funciones legítimas a sus usuarios, ocultaban un lobo que secuestraba los enlaces de páginas de resultados de búsquedas, redirigiendo a los usuarios (que pensaban que los enlaces eran legítimos) a URLs arbitrarias, entre las que podían encontrarse desde páginas publicitarias hasta suplantaciones de identidad, es decir, phishing.
Según los datos de telemetría recopilados por Avast, los tres principales países infectados por estas extensiones de Google Chrome fraudulentas fueron Brasil, Ucrania y Francia, seguidos de Argentina, España, Rusia y Estados Unidos. Las extensiones dejaron de estar disponibles para descargar desde los servidores de Google y Microsoft (pues también afectaban a Edge Chromium) a partir del 18 de diciembre de 2020, lo que indica que la respuesta de Google y Microsoft al aviso por parte de Avast fue bastante rápida.
Resultado original (arriba) y secuestrado (abajo) en una búsqueda sin y con las extensiones de Google Chrome de CacheFlow. Fuente: Avast
Las extensiones de Google Chrome maliciosas detectadas en esta investigación de Avast llegaron a sumar más de tres millones de instalaciones en total, y en este caso la piel de cordero era más creíble, puesto que a diferencia de otros patógenos que hemos visto, éstas sí que llevaban a cabo las funciones que prometían (la mayoría de ellas servían para descargar vídeos de diversas plataformas), evitando así que sus usuarios desconfiaran rápidamente y las desinstalaran al comprobar que no hacían lo que se supone que debían hacer.
En el aspecto técnico, Avast afirma que los desarrolladores de estas extensiones de Google Chrome demostraron ser bastante astutos, ofuscando la parte del código en JavaScript responsable de estas funciones malintencionadas, dejando pasar unos días desde su instalación hasta empezar a desplegar sus funciones ocultas e, incluso, evitando mostrar sus verdaderas intenciones en sistemas empleados por desarrolladores web, algo que determinaban en base a las extensiones instaladas previamente, o a si el usuario accedía a sitios web alojados localmente.
Agrupadas bajo el nombre CacheFlow, algunas de estas extensiones de Google Chrome malignas han estado en funcionamiento desde 2017, lo que demuestra que los esfuerzos por parte de sus creadores para ocultar sus verdaderas intenciones han sido bastante efectivos. En opinión de los investigadores de Avast, este es precisamente el punto más destacable y novedoso de las mismas, su capacidad de ocultación. Y es que tanto el periodo de latencia como la ocultación a desarrolladores, complican sustancialmente la detección de este tipo de malware.
Estas son las extensiones de Google Chrome agrupadas en CacheFlow. Si todavía tienes alguna en tu navegador, desinstálala de inmediato:
| Nombre de la extensión de Chrome | ID de extensión |
| Direct Message for Instagram | mdpgppkombninhkfhaggckdmencplhmg |
| DM for Instagram | fgaapohcdolaiaijobecfleiohcfhdfb |
| Invisible mode for Instagram Direct Message | iibnodnghffmdcebaglfgnfkgemcbchf |
| Downloader for Instagram | olkpikmlhoaojbbmmpejnimiglejmboe |
| App Phone for Instagram | bhfoemlllidnfefgkeaeocnageepbael |
| Stories for Instagram | nilbfjdbacfdodpbdondbbkmoigehodg |
| Universal Video Downloader | eikbfklcjampfnmclhjeifbmfkpkfpbn |
Video Downloader for FaceBook |
pfnmibjifkhhblmdmaocfohebdpfppkf |
| Vimeo Video Downloader |
cgpbghdbejagejmciefmekcklikpoeel |
| Zoomer for Instagram and FaceBook | klejifgmmnkgejbhgmpgajemhlnijlib |
| VK UnBlock. Works fast. | ceoldlgkhdbnnmojajjgfapagjccblib |
| Odnoklassniki UnBlock. Works quickly. | mnafnfdagggclnaggnjajohakfbppaih |
| Upload photo to Instagram |
oknpgmaeedlbdichgaghebhiknmghffa |
| Spotify Music Downloader | pcaaejaejpolbbchlmbdjfiggojefllp |
| The New York Times News | lmcajpniijhhhpcnhleibgiehhicjlnk |
| FORBES | lgjogljbnbfjcaigalbhiagkboajmkkj< |
| Скачать фото и видео из Instagram | akdbogfpgohikflhccclloneidjkogog |
La entrada Extensiones de Google Chrome: cuidado con el secuestro de las búsquedas es original de MuySeguridad. Seguridad informática.
Powered by WPeMatico
