En una palabra: Un investigador de seguridad recientemente descubrió casi tres docenas de extensiones de tiendas web Chrome que exhiben un comportamiento sospechoso. Muchos se presentan como asistentes de búsqueda, mientras que otros se plantean como bloqueadores de anuncios, herramientas de seguridad o escáneres de extensión, todos misteriosamente vinculados a un dominio único y no utilizado.
John Tucker, fundador de la firma de seguridad del navegador Anexo segurodescubrió las extensiones sospechosas mientras ayudaba a un cliente que había instalado uno o más para el monitoreo de seguridad. La primera bandera roja: dos de las 132 extensiones que analizado no estaban en la lista, lo que significa que no aparecen en las búsquedas web o en la tienda web de Chrome. Los usuarios solo pueden descargar estas herramientas a través de una URL directa. Las extensiones no listadas no son tan infrecuentes. Las empresas a veces los usan para limitar el acceso público a herramientas internas.
Sin embargo, los actores maliciosos a menudo usan extensiones no listadas para explotar a los usuarios, manteniéndolos ocultos y dificultando que Google detecte. Después de que Tucker comenzó a analizar las dos extensiones sospechosas, descubrió 33 más. Muchos se conectan a los mismos servidores, usan patrones de código idénticos y solicitan los mismos permisos.
Las aplicaciones solicitan a los usuarios consentir para acceder a datos confidenciales, incluidas las pestañas y ventanas del navegador, cookies, almacenamiento, secuencias de comandos, alarmas y API de administración. Este nivel de acceso es inusualmente alto, lo que facilita a los malos actores explotar el sistema del usuario para diversos fines maliciosos.
«En este punto, esta información debería ser suficiente para que cualquier organización expulse razonablemente esto de su entorno, ya que presenta un riesgo innecesario», escribió Tucker en su blog el jueves. «El único permiso que requiere cualquiera de las 35 aplicaciones es la gerencia», agregó en un correo electrónico a Ars Technica.
Además del número sospechoso de permisos que solicitan estas aplicaciones, su programación es igualmente preocupante. Tucker descubrió que las aplicaciones tenían un código fuertemente ofuscado. Un desarrollador solo programaría su software de esta manera para dificultar que otros examinaran y comprender sus acciones.
Colectivamente, los usuarios han instalado las 35 aplicaciones más de 4 millones de veces. Si bien no está claro cómo las extensiones no cotizadas atrajeron tanta atención sin aparecer en las búsquedas, Tucker señala que 10 llevó la etiqueta «presentada» de Google, una designación que típicamente dada a los desarrolladores Google ha examinado y confían. No explicó cómo esto pudo haber influido en su distribución.
Haga clic para ampliar para ver la lista completa.
Tucker no encontró evidencia directa de que las extensiones exfiltren los datos, pero eso no lo descarta. Una herramienta llamada protección de extensión de escudo de fuego afirma irónicamente para escanear a Chrome para complementos maliciosos o sospechosos. Después de analizarlo, Tucker descubrió un archivo JavaScript que puede cargar datos y descargar código e instrucciones de varios dominios sombreados, incluido uno llamado Unknow.com.
Este dominio se destaca porque las 35 aplicaciones lo hacen referencia en sus demonios de servicio de fondo a pesar de que no tiene presencia web visible o función clara. Registros de Whois Lista como «disponible» y «en venta», lo que hace que sea especialmente extraño que tantas extensiones lo señalarían.
«Hilarantemente, el dominio no tiene ninguna relevancia en el código, pero [is] ¡Increíblemente útil para vincular todas las extensiones juntas! «, Dijo Tucker.
Seguro Annex publicó una lista completa de identificaciones de extensión y permhashes en su blog y en un accesible públicamente hoja de cálculo. Una lista más simple de nombres de extensión aparece en la imagen de arriba. Si tiene alguno de estos instalados, Tucker recomienda eliminarlos de inmediato: los riesgos de seguridad superan con creces cualquier beneficio potencial.
