Se ha revelado un importante incidente de seguridad, que incluye más de 6 millones de instalaciones de una extensión del navegador Chrome que ejecuta secretamente comandos remotos, rastrea la actividad del usuario y potencialmente expone información confidencial.
John Tuckner de Secure Annex ha identificado al menos 35 extensiones relacionadas, muchas de las cuales no figuran en la tienda web Chrome, lo que lo hace invisible para los usuarios casuales y difícil para los equipos de seguridad detectar.
La investigación comenzó cuando los expertos en seguridad notaron actividad inusual de una extensión privada de Chrome. Estos no están indexados por los motores de búsqueda o se muestran en las búsquedas de tiendas web.
Una de esas extensiones, “Protección de extracción de escudo de fuego”, afirmó proteger a los usuarios de extensiones nocivas, pero descubrió que era muy sospechoso en sí mismo.
A pesar de no ser UNUP, había más de 300,000 usuarios y solicitaron permisos extensos, incluidos todo el tráfico web, las cookies, las pestañas del navegador y la capacidad de ejecutar scripts.
Un análisis posterior reveló que la “protección de extracción del escudo de fuego” es solo una de una red de 35 extensiones que se comportan de manera similar.
Estas extensiones a menudo afirman proporcionar servicios como bloqueo de anuncios, protección de la privacidad y resultados de búsqueda mejorados, pero el código real no funcionó en absoluto o no funcionó.
Características de monitoreo profundamente incorporadas
El archivo manifiesto de la extensión solicitó permisos mucho más allá de lo requerido para la función especificada. Ellos pueden:
Visite y recolecte todas las galletas para los dominios que visita. Monitorear y rastrear la actividad web de los usuarios en todos los sitios. Acceda a encabezados del navegador sensible como “aceptación” y “cookies”. Ejecuta un script recuperado de un servidor remoto en el contexto del navegador. Abre y cierra la pestaña del navegador sin interacción del usuario.
Es importante destacar que estas extensiones tienen capacidades de configuración remota. Esto permitió que los comandos cambiaran el comportamiento desde un servidor externo, convirtiendo efectivamente el navegador en una herramienta de monitoreo de control remoto.
Se han escaneado extensiones
La extensión pudo enviar un ping regular “Heartbeat” al servidor de comandos y recibir actualizaciones que mejoren el seguimiento o la recopilación de datos.
El código para estas extensiones se ha ofuscado ampliamente, lo que dificulta que los analistas determinen el rango completo de capacidades.
Algunas características solo están activas después de recibir una configuración específica desde un servidor remoto. Esto se puede activar después de que el usuario haya estado activo durante un período de tiempo. Esta activación tardía ayudó a la extensión a evitar la detección durante las verificaciones de seguridad periódicas.
Los investigadores también encontraron que algunas extensiones comparten el mismo patrón de código y dominio de devolución de llamada, y vinculan aún más como parte de la operación coordinada.
En algunos casos, la extensión se asocia con un nombre sospechoso de la empresa o una política de privacidad que se remonta a 2019, lo que indica una campaña a largo plazo.
Se desconoce cómo estas extensiones privadas han logrado millones de instalaciones. Las teorías incluyen distribución a través de anuncios maliciosos, agrupación con otro software innecesario o mecanismos de instalación automáticos.
Algunas extensiones incluso han recibido un estado “destacado” en la tienda web de Chrome. Esto permite a los usuarios asegurar incorrectamente la legitimidad.
Lo que los usuarios deberían hacer
Los expertos en seguridad alientan a los usuarios de Chrome a:
Verifique y elimine las extensiones para privilegios excesivos o fines poco claros. Tenga en cuenta cualquier extensiones que requiera acceso a todos los sitios web, cookies o datos de navegación. Instale solo extensiones de desarrolladores acreditados con prácticas de privacidad transparentes. Auditar periódicamente las extensiones instaladas y eliminar extensiones innecesarias.
Google ha sido notificado de extensiones y está investigando más a fondo, pero recomendamos que los usuarios tomen medidas inmediatas para proteger su privacidad y seguridad.
Este incidente destaca los riesgos continuos planteados por las extensiones del navegador y la necesidad de gestión de la extensión de vigilancia.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
