Google elimina más de 500 extensiones de Chrome maliciosas de la tienda web

Google ha eliminado más de 500 extensiones maliciosas de Chrome de su tienda web oficial luego de una investigación de dos meses realizada por el investigador de seguridad Jamila Kaya y el equipo Duo Security de Cisco. Las extensiones eliminadas funcionan inyectando anuncios maliciosos (publicidad maliciosa) dentro de las sesiones de navegación de los usuarios. El código malicioso inyectado por las extensiones se activó bajo ciertas condiciones y redirigió a los usuarios a sitios específicos. En algunos casos, el destino sería un enlace de afiliado en sitios legítimos como Macys, Dell o BestBuy; pero en otros casos, el enlace de destino sería algo malicioso, como un sitio de descarga de malware o una página de phishing. Según un informe publicado hoy y compartido con ZDNet, las extensiones fueron parte de una operación de malware más grande que ha estado activa durante al menos dos años. El equipo de investigación también cree que el grupo que organizó esta operación podría haber estado activo desde principios de 2010. El responsable de desenterrar esta operación es Kaya. La investigadora le dijo a ZDNet en una entrevista que descubrió las extensiones maliciosas durante la búsqueda de amenazas de rutina cuando notó visitas a sitios maliciosos que tenían un patrón de URL común. Aprovechando CRXcavator, un servicio para analizar extensiones de Chrome, Kaya descubrió un grupo inicial de extensiones que se ejecutan sobre una base de código casi idéntica, pero utilizan varios nombres genéricos, con poca información sobre su verdadero propósito. "Individualmente, identifiqué más de una docena de extensiones que compartían un patrón", nos dijo Kaya. "Al contactar a Duo, pudimos identificarlos rápidamente con la base de datos de CRXcavator y descubrir toda la red". Según Duo, estas primeras series de extensiones tuvieron un recuento total de instalación de más de 1.7 millones de usuarios de Chrome. "Posteriormente nos comunicamos con Google con nuestros hallazgos, que fueron receptivos y colaboraron en la eliminación de las extensiones", dijo Kaya a ZDNet. Después de su propia investigación, Google encontró aún más extensiones que se ajustan al mismo patrón y prohibió más de 500 extensiones en total. No está claro cuántos usuarios habían instalado las más de 500 extensiones maliciosas, pero es muy probable que el número esté en el rango de millones. Las redes de extensiones maliciosas de Chrome se han descubierto en el pasado. Por lo general, estas extensiones generalmente se dedican a inyectar anuncios legítimos dentro de la sesión de navegación de un usuario, y los operadores de extensión obtienen ingresos al mostrar anuncios. En todos los casos, las extensiones intentan ser lo menos intrusivas posible, para no alertar a los usuarios de una posible infección. Lo que sobresalió de este esquema fue el uso de "redireccionamientos" que a menudo secuestraban a los usuarios lejos de sus destinos web previstos de una manera muy ruidosa y abrasiva que era difícil de ignorar o pasar desapercibida. Sin embargo, en el estado actual de Internet, donde muchos sitios web utilizan esquemas publicitarios similares con anuncios agresivos y redirecciones, muchos usuarios ni siquiera se preocuparon. "Si bien los redireccionamientos eran increíblemente ruidosos desde el lado de la red, ningún usuario entrevistado informó que era demasiado molesto con los redireccionamientos", dijo Kaya a ZDNet. En el informe Duo se incluye una lista de ID de extensión que formaban parte de este esquema. Cuando Google prohibió las extensiones de la tienda web oficial, también las desactivó dentro del navegador de cada usuario, al tiempo que marcó la extensión como "maliciosa" para que los usuarios sepan eliminarla y no reactivarla.