Si eres usuario de Google, entonces desinstala ya estas extensiones de Chrome, porque contienen malware. Se trata de una lista de cinco extensiones que hacen seguimiento de la actividad de navegación de los usuarios y roban datos, hasta el momento han infectado a 1,4 millones de personas.
La brecha de seguridad fue detectada por la firma de seguridad McAfee, que consiguieron las extensiones maliciosas. Su tarea principal es monitorear las visitas de los usuarios a sitios web de comercio electrónico, en ese momento se modifica la cookie del visitante con el objetivo de que aparezca como proveniente de un enlace de referencia.
Esta alteración de la cookie de los usuarios, le otorga una comisión por compra de cada usuario a los propietarios de estas extensiones, ya que aparecerá como si fuesen ellos quienes llevaron a las personas hasta el sitio de ventas.
Extensiones maliciosas que debes borrar
En total son cinco las extensiones maliciosas que han sido detectadas y que están involucradas en este método de malware:
- Fiesta de Netflix: (mmnbenehknklpbendgmgngeaignppnbe) con 800.000 descargas
- Netflix Party 2: (flijfnhifgdcbhglkneplegafminjnhn) con 300.000 descargas
- Captura de pantalla de página completa: (pojgkmkfincpdkdgjepkmdekcahmckjp) con 200.000 descargas
- FlipShope | Extensión de rastreador de precios: (adikhbfjdbjkhelbdnffogkobkekkkej) con 80.000 descargas
- Ventas flash de AutoBuy: (gbnahglfafmhaehbdmjedfhdmimjcbed) con 20.000 descargas
Si observamos, los propietarios de las extensiones no tienen un nombre real o legítimo, sino una combinación aleatoria y sin sentido de letras, lo que es más que suficiente para poder levantar sospechas sobre el objetivo de las mismas.
El problema para detectar estas extensiones es que si cumplen con las funciones que prometen, por lo que es mucho más complejo que pueda ser detectada la tarea oculta. En principio no sentirás ningún tipo de afectación en tu dispositivo, pero si se está colocando en riesgo tu privacidad.
La recomendación es eliminar cualquiera de estas extensiones del navegador, ya que estás quedando expuesto ante cualquiera que esté detrás de las mismas. Actualmente, la tarea de las extensiones es modificar las cookies de los usuarios, pero en otro momento podría cambiar de objetivo y ser mucho más peligroso.
Cómo funcionan estas extensiones maliciosas
El funcionamiento de las cinco extensiones es bastante similar. Cada extensión cuenta con un manifiesto de la aplicación web, que es un archivo identificado como "manifest.json", este fichero contiene la información de cómo debe comportarse la extensión en el sistema.
En este caso, contiene un script multifuncional que es el que se encarga de enviar los datos de navegación de cada usuario a un dominio que controlan los atacantes y es en el que se ejecuta la alteración de la cookie.
Los datos de los usuarios son entregados a través de solicitudes POST cada vez que el usuario entra a una nueva URL. Los atacantes reciben la URL en formato base64, la identificación del usuario, la ubicación del dispositivo como el país, ciudad y código postal, además de una URL de referencia codificada.
Luego, si el sitio web visitado por el usuario coincide con alguna entrada en una lista de sitios web para los que el autor de la extensión tiene una afiliación activa, entonces el servidor responde con una de dos funciones establecidas:
- En primer lugar, la respuesta es “Resultado['c'] – passf_url” que se encarga de que el script inserte la URL proporcionada con el enlace de referencia, en el sitio web visitado.
- La segunda respuesta es “Result['e'] setCookie” es una modificación de la cookie o la sustitución por una cookie proporcionada.
Una de las principales razones por la que no ha sido detectado el malware con facilidad, es que la mayoría de estas extensiones esperan hasta dos semanas en comenzar su actividad maliciosa una vez instaladas.
Actualmente, ya no están disponibles las dos extensiones de Netflix Party, pero eso no las elimina automáticamente de los navegadores web que las tienen instaladas en este momento, así que continúan operando hasta que el usuario las borre manualmente.
- Ver Comentarios