En Chrome y Edge hay extensiones con miles de revisiones positivas. Muchos forman parte de campañas maliciosas – La nación

A menudo instalamos extensiones sin pensar demasiado. Sirven algo concreto, demuestran poco y están allí cuando los necesitamos. Algunos incluso tienen miles de opiniones, una buena evaluación y años de presencia en la tienda.

Ahora sabemos que Una investigación ha descubierto que algunos de ellos ocultan un sistema de vigilancia que puede seguir nuestros pasos a través de la red. No era un fraude obvio: eran herramientas útiles, bien hechas y, sobre todo, aún así.

La expansión que descubrió el problema. “Color de selección, Eyedropper – Geco Colorpick” fue una de las muchas extensiones útiles. Se permite seleccionar colores desde cualquier lugar de la pantalla y funcionó bien. Se instaló en más de 100,000 usuarios, con revisiones positivas y sellos de revisión. A los ojos de alguien no había razón para desconfiarse.

Según los investigadores de seguridad de KOIDurante mucho tiempo fue completamente legítimo. Hasta que no lo fue. En una de sus actualizaciones sin advertencias o cambios visibles para el usuario, la expansión comenzó a registrar páginas y enviar esta información a un servidor remoto. También incluyó una conexión activa con una infraestructura fiscal.

Fue solo el comienzo. Durante la profundización en el caso, los investigadores reconocieron patrones comunes en su código y comportamiento. Lo que encontraron fue una red más amplia y más coordinada que bautizaron como un “Reddire”.

Según el informe, al menos 18 extensiones diferentes fueron parte de esta operación. Todos estaban disponibles en tiendas cromadas y marginales y recolectaron más de 2.3 millones de instituciones juntas. Algunos fueron transmitidos por instrumentos de productividad, otros para obtener ganancias de entretenimiento. Había teclados emojis, controlador de velocidad para videos, extensiones de tiempo, problemas de VPN oscuros o supuestos para desbloquear servicios como Tiktok o Discord. Todo en común: ofrecían una función legítima … mientras se espiaban en segundo plano.

Lo que hicieron fue no instalar malware clásico. Estas extensiones implementaron un sistema de transferencia de navegador que se activaba cada vez que el usuario abría una nueva pestaña o navegaba en otra página. El código malicioso estaba oculto en la medida del servicio de sustancia y no perturbó su funcionalidad principal.

El mecanismo funcionó de la siguiente manera: cada vez que se ha cargado un sitio web, la URL se envió a un servidor remoto además de una detección clara del usuario. A partir de ahí, los atacantes pudieron ordenar un desvío automático hacia un lado equivocado o simplemente registrar la actividad. Todo sucedió en el fondo sin advertencias, sin una ventana emergente, sin errores visibles.

Las extensiones no eran malignas desde el día. Y eso hace que esta campaña sea particularmente peligrosa. Según los investigadores, muchos de ellos pasaron meses, o incluso más, su funcionalidad sin un comportamiento sospechoso. Todo cambió en una actualización.

El equipo técnico afirma que el código malicioso se introdujo en versiones posteriores cuando las extensiones ya tenían la confianza de los miles de usuarios. Y mientras los navegadores se actualizaron automáticamente, el cambio se aplicó sin que nadie lo notara. No se necesitaba clic. Todavía ingeniería social. Ni phishing.

¿Y los mecanismos que deberían proteger al usuario? Algunas de las extensiones maliciosas fueron verificadas o aparecidas en las plataformas Chrome and Edge. Otros recopilaron revisiones positivas y una base de usuarios sólido. Todo esto contribuyó a los desapercibidos cuando cambiaron su comportamiento.

Estas son las extensiones que están directamente conectadas a la campaña de RedDirection de acuerdo con el análisis de los investigadores de seguridad de KOI. Todos ellos ofrecieron funciones legítimas, pero fueron identificados como parte del mismo esquema de redacción del navegador:

• Color Picker, Eyedropper – Geco Colorpick
• Copie y agregue el teclado emoji en línea y agregue su emoji
• Pronóstico del tiempo gratis
• Clima
• Video del controlador de velocidad – Administrador de videos
• Switch Discord – VPN -Proxy gratis para desbloquear Discord en todas partes
• Desbloquee el acceso sin costuras de Tiktok con un proxy de un solo clic
• Encender youtube vpn gratis
• Tema oscuro – Lectores oscuros para Chrome
• Volumen Max – Ultimate Sound Booster
• Comité de Volumen – Aumente su sonido
• Equalizador de sonido web
• Flash Player – Emulador de juegos
• Valor de la cabeza
• Desbloquear a Tikok
• Comité de volumen
• Equalizador de sonido web
• Reproductor

Según la computadora BleepingAlgunas de estas extensiones ya se han eliminado de las tiendas cromadas y marginales, pero otras aún están disponibles para descargar. Tanto Google como Microsoft notificaron al equipo de seguridad de KOI, pero en este momento no han tomado ninguna medida general para completar la exclusión completa que se encontró en la campaña.

Fotos | Koi Security | Grabación de pantalla

En Xataka | Hay algo que no hacemos lo suficiente y que debemos para nuestra propia seguridad: eliminar las cuentas antiguas