Las extensiones de Google Chrome con publicidad maliciosa dañina estuvieron activas durante al menos ocho meses. Las extensiones redirigieron a millones de usuarios a sitios maliciosos, incluidos enlaces de afiliados o un sitio de anuncio GDPR (General Data Protection Regulation), – en español Reglamento General de Protección de Datos – en un aparente intento de desviar las investigaciones y parecer legítimas.
Jamila Kaya y el equipo de Cisco Duo Security identificaron el grupo de extensiones
El investigador de seguridad Jamila Kaya empleó la herramienta gratuita, CRXcavator, que permite la evaluación automatizada de seguridad de extensiones de Chrome, descubriendo una campaña a gran escala de extensiones de imitación de Chrome que infectaron a los usuarios y extrajeron datos a través de publicidad maliciosa, mientras intentaban evadir la detección de fraude en Google Chrome.
Cuando un usuario instalaba cualquiera de las más de 500 extensiones detectadas, una red de sitios de malware actuaba en conjunto redirigiendo a los usuarios a anuncios que pasaban por ordinarios, pero siendo en realidad intrusivos.
Jamila contactó a Duo acerca de una variedad de extensiones de Chrome que operaban inicialmente con apariencia legítima. Tras una investigación adicional, se descubrió que infectaban los navegadores de los usuarios y extraían datos como parte de una campaña más grande.
Estas extensiones se presentaban comúnmente como anuncios publicitarios. Además, como se emitió en un comunicado, Jamila descubrió que formaban parte de una red de complementos copycat que compartían una funcionalidad casi idéntica. A través de la colaboración mutua entre el equipo de Cisco Duo Security y la empresa Google, se pudieron tomar las pocas docenas de extensiones y utilizar CRXcavator.io para identificar 70 que coincidían con sus patrones en 1,7 millones de usuarios y trasladar las preocupaciones a Google.
La reacción rápida de Google al informe sobre publicidad maliciosa
El gigante tecnológico, Google se mostró receptivo al informe. Una vez que fue presentado, trabajaron para validar los hallazgos y luego tomaron las huellas digitales de las extensiones. Esto permitió a Google descubrir y eliminar más de 500 extensiones relacionadas con Chrome Web Store.
Un portavoz de Google manifestó «Apreciamos el trabajo de la comunidad de investigación, y cuando recibimos alertas de extensiones en la Tienda Web que violan nuestras políticas, tomamos medidas y utilizamos esos incidentes como material de capacitación para mejorar nuestros análisis automáticos y manuales”.
A partir de ahora, los usuarios de Chrome con cualquiera de estas extensiones los verán marcados como malware con un aviso para ser desinstalados. Presumiblemente, los dominios posteriores se han agregado a una lista compartida de sitios web de riesgos de seguridad y se han eliminado del índice de búsqueda de Google, en un intento claro de la compañía por reforzar los requisitos de seguridad.
