Se han detectado cuatro extensiones maliciosas en la Web Store oficial de Chrome, y mas de 500,000 usuarios han sido afectados por haberlas descargado. Los investigadores de seguridad de la firma estadounidense de seguridad cibernética ICEBRG han detectado estas cuatro extensiones de Chrome con código malicioso que estaban disponibles a través de la Web Store oficial de Chrome.
Encuentran cuatro extensiones maliciosas en la Web Store oficial de Google Chrome y son mas de 500.000 los usuarios afectados.
Según los investigadores, las cuatro extensiones maliciosas de Chrome se diseñaron para permitir a los atacantes enviar comandos maliciosos a los navegadores de los usuarios en forma de código JavaScript, pero los atacantes solo utilizaron esta capacidad para realizar clics fraudulentos cargando un sitio en segundo plano y haciendo clic en los anuncios.
Los nombres de las cuatro extensiones maliciosas de Chrome son las siguientes:
1-. Nyoogle – Custom Logo for Google
2-. Lite Bookmarks (removed from Store)
3-. Stickies – Chrome’s Post-it Notes
4-. Change HTTP Request Header (removed from Store)
De los cuatro, Nyoogle aún está disponible en Chrome Web Store en el momento de la redacción.
En total, más de 500,000 usuarios usaban las extensiones maliciosas de Chrome cuando ICEBRG detectó el comportamiento malicioso y se lo notificaron al Centro Nacional de Ciberseguridad de los Países Bajos y al al Equipo de Preparación para Emergencias Informáticas de los Estados Unidos (CERT).
La empresa de seguridad comenzó su investigación después de observar un aumento inusual en el volumen de tráfico de red saliente desde una estación de trabajo del cliente. En ese caso, el tráfico se asoció con el dominio ‘solicitud de cambio de Informacion’ y se generó a partir de la extensión de Chrome denominada Cambiar encabezado de solicitud HTTP. La firma agrega que, si bien la extensión en sí misma no contiene ningún código malicioso, que es la forma en que generalmente omiten las comprobaciones de seguridad, los atacantes pueden eventualmente habilitar la inyección de código y ejecutar código JavaScript arbitrario a través de la extensión.
Esto sucede al usar un permiso. «Por diseño, el motor de JavaScript de Chrome evalúa (ejecuta) código JavaScript contenido en JSON», escribieron los investigadores. «Debido a problemas de seguridad, Chrome impide la capacidad de recuperar JSON desde una fuente externa mediante extensiones, que deben solicitar explícitamente su uso a través de la Política de seguridad de contenido (CSP)».
Si bien se eliminaron tres de las cuatro extensiones maliciosas de Chrome Web Store, muchos usuarios aún tienen las Aplicaciones cargadas en sus navegadores.
La compañía ha publicado un informe detallado sobre el comportamiento malicioso de las extensiones con la esperanza de que los usuarios se tomen el tiempo de revisar su navegador y eliminar las extensiones maliciosas para sus computadoras. El informe agregó que las principales organizaciones a nivel mundial se encontraban en la lista afectada.
No está claro si el mismo grupo está detrás de las cuatro extensiones, pero ICEBRG dijo que las cuatro extensiones presentaban tácticas, técnicas y procedimientos similares.