Noticias de seguridad

Extensiones de terceros para Facebook, Instagram y más que han infectado a millones

Emma McGowan, 18 diciembre 2020

Las extensiones para las plataformas más populares de Internet pueden contener software malicioso y deben desinstalarse

Las extensiones de navegador suelen ser útiles, a veces divertidas y, en ocasiones, peligrosas.

Ese es el caso de al menos 28 extensiones de navegador analizadas por los investigadores de Avast Threat Intelligence después de que los investigadores checos de CZ.NIC identificaran la amenaza . Las extensiones afectadas contienen malware e incluyen Video Downloader para Facebook, Vimeo Video Downloader, Instagram Story Downloader, VK Unblock, así como extensiones de navegador adicionales para Google Chrome y Microsoft Edge. Según los números de descarga de la tienda del navegador, más de tres millones de personas pueden verse afectadas en todo el mundo.

“Nuestra hipótesis es que las extensiones se crearon deliberadamente con el malware integrado o el autor esperó a que las extensiones se hicieran populares y luego lanzó una actualización que contenía el malware”, dice el investigador de Avast, Jan Rubin. "También podría ser que el autor vendió las extensiones originales a otra persona después de crearlas y luego su cliente introdujo el malware".

Las extensiones infectadas basadas en JavaScript contienen código malicioso que hace posible descargar aún más malware en la computadora de una persona. También manipulan todos los enlaces en los que las víctimas hacen clic después de descargar las extensiones. Por ejemplo, los enlaces en la Búsqueda de Google llevan a los usuarios a otros sitios aparentemente aleatorios. Esto incluye anuncios y sitios de phishing . 

“Creemos que estos dominios no son propiedad de los ciberdelincuentes, sino que los propietarios de estos dominios pagan a los ciberdelincuentes por cada redirección”, dice Rubin.

Al hacer clic en los enlaces, las extensiones también envían información al servidor de control del atacante, creando un registro de todos sus clics. Luego, ese registro se envía a sitios web de terceros y se puede utilizar para recopilar información personal sobre el usuario, incluida la fecha de nacimiento, las direcciones de correo electrónico, la información del dispositivo, la hora del primer inicio de sesión, la hora del último inicio de sesión, el nombre de su dispositivo, sistema operativo, navegador. utilizado y versión, y dirección IP.

El equipo de Avast Threat Intelligence comenzó a monitorear esta amenaza en noviembre de 2020, pero cree que podría haber estado activa durante años sin que nadie se diera cuenta. De hecho, hay reseñas en Chrome Web Store que mencionan el secuestro de enlaces desde diciembre de 2018. Eso significa que es posible que esto haya estado infectando los dispositivos de las personas durante mucho más tiempo de lo que los investigadores habían sido conscientes de la amenaza.

En el momento de la publicación, las extensiones infectadas todavía están disponibles para descargar. Si sospechas que pudiste haber descargado una, los investigadores de Avast recomiendan deshabilitarlos y desinstalarlos inmediatamente y luego buscar y eliminar el malware . También han informado del problema a Microsoft y Google, que lo están investigando.