Damián Digital

500 extensiones de Chrome atrapadas robando datos privados de 1,7 millones de usuarios

Google eliminó 500 extensiones maliciosas de Chrome de su tienda web después de que se descubriera que inyectaban anuncios maliciosos y desviaban los datos de navegación del usuario a servidores bajo el control de los atacantes.

Estas extensiones formaban parte de una campaña de malversación y de fraude publicitario que ha estado funcionando al menos desde enero de 2019, aunque las pruebas apuntan a la posibilidad de que el actor que está detrás del esquema haya estado activo desde 2017.

Los hallazgos son parte de una investigación conjunta de la investigadora de seguridad Jamila Kaya y el Duo Security, propiedad de Cisco, que descubrió 70 extensiones de cromo con más de 1,7 millones de instalaciones.

Al compartir el descubrimiento en privado con Google, la compañía identificó 430 extensiones de navegador más problemáticas, todas las cuales han sido desactivadas desde entonces.

«La prominencia de la malversación como vector de ataque continuará aumentando mientras la publicidad basada en rastreo siga siendo omnipresente, y particularmente si los usuarios siguen siendo desatendidos por los mecanismos de protección», dijo Jacob Rickerd de Kaya y Duo Security en el informe.

Una campaña de malversación bien oculta

Utilizando la herramienta de evaluación de la seguridad de la extensión Chrome de Duo Security — llamada CRXCavator — los investigadores pudieron comprobar que los plugins de los navegadores funcionaban conectando subrepticiamente los clientes de los navegadores a un servidor de mando y control (C2) controlado por el atacante, lo que permitía extraer datos privados de navegación sin el conocimiento de los usuarios.

Las extensiones, que funcionaban bajo la apariencia de servicios de promoción y publicidad, tenían un código fuente casi idéntico pero diferían en los nombres de las funciones, con lo que eludían los mecanismos de detección de Chrome Web Store.

LEER  Nuevos ataques de red 4G LTE permiten a los piratas espiar, rastrear, falsificar y enviar spam
Chrome Extensions

Además de solicitar amplios permisos que concedían a los plugins acceso al portapapeles y a todas las cookies almacenadas localmente en el navegador, se conectaban periódicamente a un dominio que compartía el mismo nombre que el plugin (por ejemplo, Mapstrekcom, ArcadeYumcom) para comprobar las instrucciones para desinstalarse del navegador.

Al hacer el contacto inicial con el sitio, los plugins establecieron posteriormente contacto con un dominio C2 de código duro — por ejemplo, DTSINCEcom — para esperar nuevas órdenes, las ubicaciones para cargar los datos del usuario, y recibir listas actualizadas de anuncios maliciosos y redirigir los dominios, que posteriormente redirigieron las sesiones de navegación de los usuarios a una mezcla de sitios legítimos y de phishing.

«Una gran parte de estos son flujos de anuncios benignos, que conducen a anuncios como Macy’s, Dell o Best Buy», según el informe. «Algunos de estos anuncios podrían considerarse legítimos; sin embargo, entre el 60 y el 70 por ciento de las veces que se produce una redirección, los flujos de anuncios hacen referencia a un sitio malicioso».

Cuidado con las extensiones de los navegadores que roban datos

No es la primera vez que se descubren extensiones de robo de datos en el navegador Chrome. El pasado mes de julio, el investigador de seguridad Sam Jadali y The Washington Post descubrieron una fuga masiva de datos llamada DataSpii (pronunciada como espía de datos) perpetrada por las turbias extensiones de Chrome y Firefox instaladas en otros cuatro millones de navegadores de usuarios.

Estas extensiones recogieron actividad de navegación -incluyendo información de identificación personal- y la compartieron con un tercero sin nombre, un agente de datos que la pasó a una empresa de análisis llamada Nacho Analytics (ahora cerrada), que luego vendió los datos recogidos a sus miembros suscriptores casi en tiempo real.

LEER  Entrevista de Julian Assange en Telesur

En respuesta, Google comenzó a exigir extensiones para solicitar acceso sólo a la «menor cantidad de datos» a partir del 15 de octubre de 2019, prohibiendo cualquier extensión que no tuviera una política de privacidad y que recogiera datos sobre los hábitos de navegación de los usuarios.

Por ahora, se aplica la misma regla de precaución: revise sus permisos de extensión, considere la posibilidad de desinstalar las extensiones que rara vez utiliza o cambie a otras alternativas de software que no requieran un acceso invasivo a la actividad de su navegador.

Fuente: https://thehackernews.com/

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: