Investigadores descubren mas de 20 extensiones de Chrome maliciosas

Las extensiones se están utilizando para ofrecer adiciones no deseadas, robar datos y desviar a los usuarios a sitios maliciosos, dice Cato Networks. Los investigadores de Cato Networks han descubierto dos docenas de extensiones maliciosas del navegador Google Chrome y 40 dominios maliciosos asociados que se utilizan para introducir adware en los sistemas de las […]

Las extensiones se están utilizando para ofrecer adiciones no deseadas, robar datos y desviar a los usuarios a sitios maliciosos, dice Cato Networks.

Los investigadores de Cato Networks han descubierto dos docenas de extensiones maliciosas del navegador Google Chrome y 40 dominios maliciosos asociados que se utilizan para introducir adware en los sistemas de las víctimas, robar credenciales o redirigir silenciosamente a las víctimas a sitios de distribución de malware.

El proveedor de seguridad descubrió las extensiones en las redes que pertenecen a cientos de sus clientes y descubrió que las herramientas de protección de terminales y los sistemas de inteligencia de amenazas no las marcaban como maliciosas.

Etay Maor, director senior de estrategia de seguridad de Cato Networks, dice que tales extensiones pueden representar riesgos para las organizaciones empresariales. 

Si bien las extensiones maliciosas son un problema con todos los navegadores, es especialmente significativo con Chrome debido a lo ampliamente utilizado que es el navegador, dice Maor. Es difícil decir qué proporción de las extensiones generales de Chrome disponibles actualmente son maliciosas. Es importante tener en cuenta que solo se necesita una cantidad relativamente pequeña de extensiones maliciosas para infectar a millones de usuarios de Internet, dice.

En un informe que se publicará próximamente, Cato dice que analizó cinco días de datos de red recopilados de las redes de los clientes para ver si podía identificar evidencia de extensiones que se comunican con servidores de comando y control. Básicamente, la compañía correlacionó el comportamiento de las extensiones del navegador Chrome con el tráfico de la red para clasificar de manera preliminar las extensiones como benignas o maliciosas. El ejercicio dio como resultado que Cato identificara 97 de las 551 extensiones únicas en las redes de los clientes como potencialmente problemáticas. Luego, los investigadores de la compañía inspeccionaron manualmente cada extensión para ver si podían clasificarlas definitivamente como maliciosas o benignas. Ese proceso, a su vez, terminó identificando 87 extensiones como definitivamente maliciosas. De ese número, 24 no habían sido previamente identificados como maliciosos.

Múltiples métodos

Google, al igual que otros fabricantes de navegadores, ha implementado múltiples medidas para verificar la seguridad de las extensiones cargadas en su tienda Chrome. Según Cato, el proceso de subir una extensión a la tienda oficial de Google puede llevar semanas e implica revisiones automáticas y manuales del código y la actividad de la extensión. La configuración de seguridad estándar de Chrome también bloquea la instalación de extensiones provenientes de fuera de Chrome Web Store. Aun así, la investigación de Cato mostró que los actores de amenazas emplean al menos cuatro enfoques diferentes para introducir extensiones maliciosas en los navegadores de los usuarios.

Una forma común es colarse a través de archivos de instalación de extensiones de tiendas no oficiales. “Algunos desarrolladores prefieren no pasar por el conjunto de restricciones de instalación de Google y ofrecer sus extensiones para descargar desde tiendas no oficiales”, dice Maor. Si bien no todas las extensiones en sitios no oficiales son maliciosas, sigue siendo un riesgo obtener extensiones de Chrome desde cualquier lugar que no sea la Chrome Web Store oficial de Google. Los atacantes han encontrado formas de eludir el bloqueo de Chrome de extensiones no oficiales mediante el uso de iframes, un mecanismo para incrustar documentos y otro contenido dentro de una página web, dice.

En otros casos, un atacante puede introducir código malicioso en una actualización de la extensión del navegador Chrome. Maor señala varias formas en que esto puede suceder. Un desarrollador, por ejemplo, podría vender código a un tercero que luego le inyecta código malicioso. O un desarrollador puede lanzar inicialmente un navegador benigno que funciona como se anuncia, pero luego se actualiza con propiedades maliciosas una vez que se vuelve popular. Los desarrolladores también pueden ser estafados para que cedan el control de su cuenta a un atacante. “En casi todos los casos, la aplicación inicialmente no es dañina, sino que se actualiza más tarde con código malicioso, ya que es más fácil evitar los controles de seguridad que se realizan en la tienda de Google de esa manera”, dice Maor.

También se sabe que los adversarios compran derechos sobre una extensión legítima de Chrome y luego la modifican con código malicioso o usan una extensión maliciosa para descargar extensiones maliciosas adicionales.