20 millones de usuarios instalaron extensiones maliciosas para el bloqueo de anuncios en Chrome

20/04/2018

Si has instalado cualquiera de las extensiones de bloqueo de anuncios mencionadas más abajo en el navegador Chrome, podrías haber sido hackeado.

Un investigador de seguridad detectó cinco extensiones maliciosas de bloqueo de anuncios en Google Chrome Store que ya habían sido instaladas por al menos 20 millones de usuarios.

Desafortunadamente, las extensiones maliciosas de los navegadores no son nada nuevo. Regularmente tienen acceso a todo lo que haces en línea y podrían permitir a sus creadores robar cualquier información que ingresen las víctimas en cualquier sitio web que visiten, incluidas las contraseñas, el historial de navegación web y números de tarjetas de crédito.

Descubiertas por Andrey Meshkov, cofundador de Adguard, estas cinco extensiones maliciosas son versiones de imitación de algunos bloqueadores de anuncios legítimos y bien conocidos.

Los creadores de estas extensiones también utilizaron palabras clave populares en sus nombres y descripciones para posicionarse entre los primeros resultados de búsqueda, lo que aumenta la posibilidad de que más usuarios los descarguen.

"Todas las extensiones que he resaltado son estafas simples con algunas líneas de código y algunos códigos de análisis agregados por los autores", dice Meshkov.

Después de que Meshkov informara sobre sus hallazgos a Google el martes, el gigante de la tecnología eliminó inmediatamente las siguientes extensiones de bloqueadores de anuncios maliciosos de Chrome Store:

  • AdRemover para Google Chrome ™ (10 millones + usuarios)
  • uBlock Plus (8 millones + usuarios)
  • [Fake] Adblock Pro (2 millones + usuarios)
  • HD para YouTube ™ (400,000+ usuarios)
  • Webutation (más de 30,000 usuarios)

Meshkov descargó la extensión 'AdRemover' para Chrome, y luego de analizarla, descubrió que el código malicioso escondido dentro de la versión modificada de jQuery (una conocida biblioteca de JavaScript) envía a un servidor remoto información sobre algunos sitios web que un usuario visita.

La extensión maliciosa luego recibe comandos del servidor remoto, que se ejecutan en la extensión 'background page' y pueden cambiar el comportamiento de su navegador de cualquier manera.

Para evitar la detección, estos comandos enviados por el servidor remoto están ocultos dentro de una imagen inofensiva.

"Estos comandos son scripts que luego se ejecutan en el contexto privilegiado (background page de la extensión) y pueden cambiar el comportamiento de su navegador de cualquier forma", dice Meshkov.

"Básicamente, se trata de una botnet compuesta por navegadores infectados con las extensiones falsas de Adblock", dice Meshkov. "El navegador hará lo que el propietario del servidor del Command&Control le ordene hacer".

El investigador también analizó otras extensiones en Chrome Store y encontró cuatro extensiones más usando tácticas similares.

Como la extensión del navegador tiene permiso para acceder a todas las páginas web que visita, puede hacer prácticamente cualquier cosa.

Por lo tanto, se recomienda instalar la menor cantidad posible de extensiones y solo de compañías en las que confíe.