Google ha eliminado 34 extensiones de navegador maliciosas de Chrome Web Store que, en conjunto, tenían un conteo de descargas de 87 millones. Aunque estas extensiones presentaban una funcionalidad legítima, podían modificar los resultados de búsqueda y generar spam o anuncios no deseados.
El mes pasado, un investigador de ciberseguridad independiente, Wladimir Palant descubrió una extensión de navegador llamada’PDF Toolbox’ (2 millones de descargas) para Google Chrome que tenía un código ofuscado inteligentemente disfrazado para mantener a los usuarios inconscientes de sus riesgos potenciales.
Chrome Web Store elimina 34 extensiones maliciosas con 87 millones de descargas
El investigador analizó la extensión PDF Toolbox y publicó un informe detallado el 16 de mayo. Explicó que el código se creó para parecerse a un envoltorio API de extensión legítimo. Pero, desafortunadamente, este código permitió que el sitio web “serasearchtop[.]com” inyectara código JavaScript arbitrario en cada página web que visitaba un usuario.
Según el informe, abusos potenciales incluyen secuestro de resultados de búsqueda para mostrar enlaces patrocinados y resultados de pago, incluso ofrecer enlaces maliciosos en ocasiones, y robar información confidencial. Sin embargo, se desconocía el propósito del código, ya que Palant no detectó ninguna actividad maliciosa.
El investigador también descubrió que el código estaba configurado para activarse 24 horas después de instalar la extensión, lo que apunta a intenciones maliciosas, según el informe. mencionado.
En un artículo de seguimiento publicado el 31 de mayo de 2023, Palant escribió que había encontrado el mismo código malicioso en otras 18 extensiones de Chrome con un recuento total de descargas de 55 millones en Chrome Web Store.
Continuando con su investigación, Palant encontró dos variantes del código que eran muy similares pero con pequeñas diferencias:
La primera variante se hace pasar por el navegador WebExtension de Mozilla API Polyfill. La dirección de descarga de”config”es https://serasearchtop.com/cfg/
Sin embargo, ambas variantes mantienen el mismo mecanismo arbitrario de inyección de código JS que involucra a serasearchtop[.]com.
Aunque el investigador no observó el código malicioso en acción, señaló varios informes de usuarios y reseñas en Web Store que indican que las extensiones estaban secuestrando resultados de búsqueda y redirigiéndolos aleatoriamente a otro lugar.
Aunque Palant informó sus hallazgos a Google, las extensiones permanecieron disponible en Chrome Web Store. Solo después de que la empresa de ciberseguridad Avast confirmara la naturaleza maliciosa de las extensiones de Chrome, el gigante de las búsquedas las desconectó.
Palant tenía enumeró 34 extensiones maliciosas en su sitio web, con un recuento total de descargas de 87 millones. Hasta la fecha, Google ha eliminado todas estas extensiones maliciosas de la Chrome Web Store. Sin embargo, esto no los desactiva o desinstala automáticamente de sus navegadores web. Por lo tanto, se recomienda a los usuarios que los desinstalen de sus dispositivos manualmente.
