Google eliminó recientemente 106 extensiones más de su Chrome Web Store después de que se descubriera que recopilan ilegalmente datos confidenciales de los usuarios como parte de una «campaña de vigilancia global masiva» dirigida a los sectores de petróleo y gas, finanzas y atención médica. Awake Security, que reveló los hallazgos a fines de la semana pasada, dijo que los complementos del navegador malicioso estaban vinculados a un único registrador de dominios de Internet, GalComm.

Sin embargo, no está claro de inmediato quién está detrás del esfuerzo de spyware.

«Esta campaña y las extensiones de Chrome involucraron operaciones como tomar capturas de pantalla del dispositivo víctima, cargar malware, leer el portapapeles y recolectar activamente tokens y comentarios de los usuarios», dijo Awake Security.

Las extensiones en cuestión se presentan como utilidades que ofrecen capacidades para convertir archivos de un formato a otro, entre otras herramientas para una navegación segura, al tiempo que se basan en miles de revisiones falsas para engañar a los usuarios desprevenidos para que los instalen.

Además, los actores detrás de la operación aprovecharon las técnicas de evasión para evitar marcar los dominios como maliciosos con soluciones antimalware, permitiendo así que la campaña de vigilancia no sea detectada.

En total, las extensiones se descargaron casi 33 millones de veces en el transcurso de tres meses antes de que Awake Security se comunicara con Google en mayo.

El gigante de las búsquedas, en respuesta a las divulgaciones, ha desactivado las extensiones problemáticas del navegador. 

Los datos de telemetría han revelado que algunas de estas extensiones estaban activas en las redes de «servicios financieros, petróleo y gas, medios y entretenimiento, atención médica y farmacéutica, comercio minorista, alta tecnología, educación superior y organizaciones gubernamentales», aunque no hay evidencia de que en realidad se usaron para recopilar datos confidenciales.

«Galcomm no está involucrado, y no está en complicidad con ninguna actividad maliciosa», dijo a Reuters el propietario del registrador con sede en Israel, Moshe Fogel , que rompió el desarrollo.

Las extensiones engañosas en Chrome Web Store han seguido siendo un problema, ya que los malos actores lo explotan para publicidad maliciosa y otras campañas de robo de datos.

A principios de febrero, Google eliminó 500 extensiones con malware después de que fueron descubiertas sirviendo adware y enviando la actividad de navegación de los usuarios a servidores controlados por atacantes. Luego, en abril, la compañía sacó otro conjunto de 49 extensiones que se hicieron pasar por billeteras de criptomonedas para robar información de Keystore.

Se recomienda que los usuarios revisen los permisos de extensión visitando «chrome: // extensiones» en el navegador Chrome, consideren desinstalar las que raramente se usan o cambien a otras alternativas de software que no requieren acceso invasivo a la actividad del navegador.

Fuente y redacción: thehackernews.com

Compartir