La empresa de ciberseguridad Awake Security dio a conocer hace poco que había alertado a Google sobre la existencia de 111 extensiones maliciosas de Chrome, que se han descargado 32,9 millones de veces y de las cuales Google informó recientemente que 106 de estas extensiones ya no están disponibles en Chrome Web Store y que las que estaban en uso se han deshabilitado.
El descubrimiento se produce meses después de que Duo Security informara que 500 extensiones han descargado en secreto datos de navegación de millones de usuarios desde enero de 2019.
Según Awake Security, estas extensiones probablemente fueron desarrolladas por un solo desarrollador. Lo que todos tienen en común es que todas sus actividades están vinculadas a GalComm, un registrador de dominios de Internet.
Sin embargo, Awake Security dice que GalComm no está detrás de esta gran campaña, pero aún debería haber sabido lo que estaba sucediendo.
“De los 26.079 dominios accesibles registrados por GalComm, 15.160 dominios, o casi el 60%, son maliciosos o sospechosos. También hemos encontrado y presentado evidencia de que estos dominios se usan para alojar malware tradicional y herramientas de monitoreo del navegador ”, dijo la compañía de seguridad.
Por su parte, el propietario del registrador israelí, Moshe Fogel, dijo:
«GalComm no está involucrado y no es un accesorio para ninguna actividad maliciosa». Sin embargo, dijo que la mayoría de estos nombres de dominio estaban inactivos y que continuaría investigando el resto.
Además, la mayoría de estas extensiones comparten los mismos gráficos y la misma base de código. Ofrecen, por ejemplo, servicios como prevención contra sitios web peligrosos o conversión de archivos.
Por su parte, las extensiones de prevención de malware son ineficaces, señalan los investigadores de Awake Security. Después de realizar pruebas en uno de ellos, ByteFence, descubrieron que clasificaba varios sitios maliciosos como «seguros».
ByteFence es la versión renovada de otra extensión llamada Reason Core Security.
«Descubrimos que estaba asociado con malware en la naturaleza durante esta investigación», dicen los investigadores.
Peor aún, «a menudo sucede que se instala una versión personalizada de un paquete Chromium independiente con extensiones maliciosas ya incluidas»
Esta técnica permite al atacante evitar por completo la tienda Chrome y evadir cualquier control de seguridad. Dado que la mayoría de los usuarios no reconocen la diferencia entre Chrome y Chromium, cuando se les pide que hagan que el nuevo navegador sea su navegador predeterminado, a menudo lo hacen, convirtiendo su navegador principal en un navegador que felizmente continuará cargándose extensiones maliciosas de otras fuentes relacionadas con GalComm.
Además, los equipos de seguridad corporativos harían bien en reconocer que las extensiones maliciosas del navegador representan un riesgo significativo, especialmente porque nuestra vida digital ahora se lleva a cabo en gran medida en el navegador.
Además, esta amenaza evita una serie de mecanismos de seguridad tradicionales, que incluyen soluciones de seguridad de puntos de acceso, motores de reputación de dominio, servidores proxy web y entornos limitados basados en la nube.
Por lo tanto, los equipos de seguridad deben buscar constantemente tácticas, técnicas y procedimientos para compensar las brechas tecnológicas ”, aconseja la compañía.
Hasta el momento, Google ha eliminado 106 de 111 extensiones maliciosas.
«Cuando se nos alerta sobre las extensiones de la Tienda Web que violan nuestras políticas, tomamos medidas y utilizamos estos incidentes como material de capacitación para mejorar nuestro análisis automático y manual», dijo Scott Westover, portavoz de Google.
«Hacemos escaneos regulares para encontrar extensiones usando técnicas, códigos y comportamientos similares», agrega.
Pero a la mayoría de los usuarios les resulta difícil identificar extensiones maliciosas porque tienden a tener un número relativamente grande de usuarios, cuando fueron desarrolladas por marcas desconocidas.
También son poco criticados. Por el contrario, obtienen buenas notas y cuentan muchas opiniones falsas de los usuarios de Internet. Además, la cantidad de descargas probablemente se ha inflado para atraer a los usuarios a instalarlas, según Awake Security.
Finalmente, si quieres conocer mas al respecto sobre las extensiones que fueron descubiertas, puedes consultar los detalles dirigiéndote al siguiente enlace.
Fuente: awakesecurity | ubunlog
