Se advirtió a los usuarios de plataformas de redes sociales como Instagram y Facebook, y otros servicios en línea, que estén atentos a las extensiones de navegador de Google Chrome y Microsoft Edge de terceros que, de hecho, son mecanismos de entrega de malware.
Eso es según los investigadores de amenazas de Avast, que dicen que han descubierto al menos 28 de las extensiones poco fiables que, hasta la fecha, se han descargado unas tres millones de veces.
Las extensiones basadas en Javascript en muchos casos pretenden ayudar a los usuarios a descargar videos de las plataformas afectadas para conservarlos, pero contienen código malicioso que permite que las extensiones descarguen malware en el dispositivo de la víctima.
El malware asociado es capaz de manipular la experiencia en línea de la víctima de muchas maneras, como redirigir el tráfico a anuncios no deseados o sitios web de phishing maliciosos, o para exfiltrar datos personales como fechas de nacimiento, direcciones de correo electrónico e información en dispositivos activos, incluidas direcciones IP.
El investigador de malware de Avast, Jan Rubín, dijo que el equipo creía que el objetivo detrás de la actividad maliciosa era monetizar el tráfico redirigido; por cada redirección a un dominio de terceros controlado por un ciberdelincuente, recibirán alguna forma de pago.
“Nuestra hipótesis es que las extensiones se crearon deliberadamente con el malware integrado o el autor esperó a que las extensiones se hicieran populares y luego lanzó una actualización que contenía el malware”, dijo Rubín.
«También podría ser que el autor vendiera las extensiones originales a otra persona después de crearlas, y luego el comprador introdujo el malware».
Rubín ha estado monitoreando la amenaza desde noviembre de 2020, pero cree que podría haber estado activa durante al menos dos años; las revisiones en Chrome Web Store mencionan el secuestro de enlaces que se remonta a ese período.
Añadió: «Las puertas traseras de las extensiones están bien ocultas y las extensiones solo comienzan a mostrar un comportamiento malicioso días después de la instalación, lo que dificulta que cualquier software de seguridad lo descubra».
El malware también es difícil de detectar porque ofusca su presencia si detecta que el usuario está buscando uno de sus dominios o, aparentemente, si tiene habilidades de desarrollo web y, por lo tanto, podría detectar lo que está haciendo.
En el momento de redactar este artículo, las extensiones infectadas aún estaban disponibles para su descarga, aunque Computer Weekly entiende que tanto Google como Microsoft están al tanto de los problemas y los están investigando.
La lista actual de extensiones detectadas es: Mensaje directo para Instagram; DM para Instagram; Modo invisible para mensaje directo de Instagram; Descargador para Instagram; Instagram Descargar Video e Imagen; Aplicación de teléfono para Instagram; Aplicación de teléfono para Instagram; Historias para Instagram; Descargador de video universal; Descargador de video universal; Descargador de videos para Facebook; Descargador de videos para Facebook; Descargador de videos de Vimeo; Descargador de videos de Vimeo; Controlador de volumen; Zoomer para Instagram y Facebook; VK UnBlock. Funciona rápido; Desbloqueo de Odnoklassniki. Funciona rápidamente; Sube una foto a Instagram; Descargador de música de Spotify; Sube una foto a Instagram; Pretty Kitty, el gato mascota; Descargador de videos para YouTube; Descargador de música SoundCloud; Noticias del New York Times; e Instagram App con Direct Message DM.
Es importante tener en cuenta que donde se nombra una plataforma específica, como Instagram o Vimeo, ninguna de las extensiones está oficialmente asociada con esas plataformas. No obstante, los usuarios deben deshabilitar o desinstalar las extensiones de inmediato al menos hasta que se resuelva el problema, y luego buscar y eliminar el malware.