Desde hace años, las extensiones han sido una de las principales puertas de entrada de malware a los ordenadores. A pesar de que tanto Google como Mozilla tienen medidas de seguridad en sus tiendas que analizan las extensiones antes de que estas lleguen a los usuarios, estas medidas de seguridad son muy sencillas de evadir. Por ello, crear una extensión maliciosa, y distribuirla a través de las tiendas, es algo muy lucrativo que, además, permite a los piratas llegar a millones de usuarios de forma rápida y sencilla.
Además de Google y Mozilla, las firmas de antivirus y los investigadores de seguridad suelen analizar las tiendas de extensiones en busca de posibles amenazas. De esta manera es posible detectar, con mayor facilidad y rapidez, cualquier tipo de amenaza que se esconda en estas tiendas y pueda suponer un problema para los usuarios. A cambio, por supuesto, de una recompensa a través del correspondiente programa Bug Bounty.
Esta vez han sido los investigadores de Avast Threat Intelligence quienes se han topado con estas nuevas amenazas en la tienda de extensiones de Chrome. Y, para sorpresa de Avast y de Google, las extensiones maliciosas han pasado desapercibidas hasta el punto de tener, ahora mismo, más de 3 millones de usuarios infectados.
Malware oculto en varias extensiones de Chrome para redes sociales
Los piratas informáticos se han aprovechado de la popularidad de varias redes sociales, como Instagram, Facebook y Vimeo, entre otras, como gancho para distribuir su malware. Para ello, han creado varias extensiones con las que ofrecer a los usuarios funciones que, por defecto, no están disponibles en estas redes sociales. Por ejemplo, extensiones para controlar los mensajes directos, descargar fotos y vídeos o ponerse en modo invisible.
Concretamente, las extensiones que se han encontrado con malware son las siguientes:
- Direct Message for Instagram
- Direct Message for Instagram™
- DM for Instagram
- Invisible mode for Instagram Direct Message
- Downloader for Instagram (1,000,000+ users)
- Instagram Download Video & Image
- App Phone for Instagram
- App Phone for Instagram
- Stories for Instagram
- Universal Video Downloader
- Universal Video Downloader
- Video Downloader for FaceBook™
- Video Downloader for FaceBook™
- Vimeo™ Video Downloader (500,000+ users)
- Vimeo™ Video Downloader
- Volume Controller
- Zoomer for Instagram and FaceBook
- VK UnBlock. Works fast.
- Odnoklassniki UnBlock. Works quickly.
- Upload photo to Instagram™
- Spotify Music Downloader
- Stories for Instagram
- Upload photo to Instagram™
- Pretty Kitty, The Cat Pet
- Video Downloader for YouTube
- SoundCloud Music Downloader
- The New York Times News
- Instagram App with Direct Message DM
Algunas de estas extensiones llevan disponibles desde 2018 y, a día de hoy, muchas de ellas siguen estando en la Chrome Store, a pesar de que se ha informado a Google de su peligro. La principal finalidad de estas extensiones es la de analizar toda la actividad de las víctimas, recoger datos (como fechas de nacimientos, correos, contraseñas y datos bancarios) y, además, reenviar a sus víctimas a webs controladas por los piratas informáticos, generalmente con fines publicitarios (a través de referidos) y para llevar a cabo ataques de Phishing.
Qué hacer si somos víctimas
Aunque poco a poco estas extensiones irán desapareciendo de la Chrome Store, llevan presentes en la tienda más de dos años, y se calcula que, en total, están instaladas en más de 3 millones de navegadores web, tanto Chrome como en el nuevo Edge Chromium, al ser compatible con estas mismas extensiones.
Lo primero que debemos hacer es comprobar si nuestro navegador tiene alguna de estas extensiones. Escribiremos en la barra de direcciones «chrome://extensions/» y buscaremos cualquier coincidencia con alguna de ellas. En caso de encontrarla, lo primero que debemos hacer es desinstalarla del navegador. También recomendamos, por seguridad, restablecer por completo Chrome para eliminar cualquier posible cambio o configuración que haya podido realizar.
Después de eliminar la extensión del navegador es recomendable analizar el PC con un antivirus para asegurarnos de que la extensión no ha instalado ningún payload ni ningún otro tipo de malware que pueda poner en jaque nuestra seguridad. También es más que recomendable aprovechar para cambiar las contraseñas online que utilicemos (por si las han robado) y asegurarnos de no tener cargos no autorizados en nuestra cuenta bancaria.