En un importante esfuerzo de limpieza, Google tomó medidas rápidas al eliminar 32 extensiones maliciosas de Chrome Web Store, que en conjunto tuvieron un asombroso número de descargas de 75 millones.
Estas extensiones tenían el potencial de manipular los resultados de búsqueda e inundar a los usuarios con spam o anuncios no deseados, según un informe de Computadora que suena.
Descubrimiento sorprendente
Durante un análisis de la extensión PDF Toolbox, el investigador de ciberseguridad Wladimir Palant hizo un descubrimiento sorprendente.
Disfrazado como un contenedor API de extensión legítimo, el código dentro de la extensión permitía que el dominio “serasearchtop[.]com” para inyectar código JavaScript arbitrario en cualquier sitio web visitado.
Las posibles consecuencias de tales acciones iban desde inyectar anuncios en páginas web hasta potencialmente comprometer información confidencial. Aunque no se observó evidencia explícita de actividad maliciosa, las verdaderas intenciones detrás del código siguieron siendo un misterio.
La investigación de Palant dio un giro desconcertante cuando encontró el mismo código sospechoso presente en otras 18 extensiones de Chrome, con un recuento de descargas colectivas de 55 millones.
Las extensiones notables afectadas por este problema incluyeron extensiones populares como Autoskip para Youtube, Soundboost, Crystal Ad Block, Brisk VPN, Clipboard Helper y Maxi Refresher. A pesar de los esfuerzos de Palant por informar a Google sobre estas extensiones relacionadas, continuaron estando disponibles para descargar en Chrome Web Store.
Un análisis más detallado realizado por Palant reveló dos variantes del código, una que se hace pasar por la API Polyfill del navegador WebExtension de Mozilla y la otra que se hace pasar por la biblioteca Day.js. Pero ambas versiones emplearon el mismo método de inyectar código JavaScript arbitrario a través de serasearchtop.[.]com.
Aunque Palant no fue testigo personalmente de ninguna actividad maliciosa explícita, numerosos informes y reseñas de usuarios en Chrome Web Store sugirieron que estas extensiones eran responsables de redirecciones no deseadas y secuestro de resultados de búsqueda.
La investigación de Avast
A pesar de las advertencias, Google no tomó medidas para eliminar estas extensiones hasta que intervino la empresa de ciberseguridad Avast.
Avast llevó a cabo una investigación exhaustiva y confirmó la naturaleza maliciosa de estas extensiones. Informaron rápidamente de los hallazgos a Google, ampliando la lista para abarcar un total de 32 entradas, que en conjunto representaron 75 millones de instalaciones.
Según la evaluación de Avast, estas extensiones aparentemente inocuas eran, de hecho, software publicitario que manipulaba subrepticiamente los resultados de búsqueda para mostrar enlaces patrocinados y resultados pagos.
Además, en determinados casos, estas extensiones incluso facilitaban la difusión de enlaces maliciosos.
Tras el informe de Avast, un portavoz de Google confirmó que las extensiones informadas se eliminaron rápidamente de Chrome Web Store. Al enfatizar su compromiso con la seguridad y privacidad del usuario, el portavoz afirmó que Google se toma en serio las violaciones de sus políticas y toma las medidas adecuadas cuando es necesario.
ⓒ 2023 . .
