logo

Debes desinstalar ya estas cinco extensiones de Chrome que están robando tus datos

6 septiembre, 2022 | 0 comments |

Los analistas de seguridad de McAfee han encontrado cinco extensiones de Google Chrome que monitorizan y roban la actividad de navegación de los usuarios. En conjunto, las extensiones se han descargado más de 1,4 millones de veces.

El objetivo de las extensiones maliciosas es monitorizar cuándo los usuarios visitan un sitio web de comercio electrónico y modificar la cookie del visitante para que aparezca como si hubiera llegado a través de un enlace de referencia.

Desde el punto de vista del usuario, no nota nada. Por ejemplo, estos dos enlaces (enlace 1 y enlace 2) llevan a Amazon, pero uno de ellos general ingresos para la web que te ha dirigido ahí si compras algo. A simple vista, para el usuario, no hay diferencia.

De esta forma, los autores de las extensiones obtienen una comisión de afiliación por las compras realizadas en dichos sitios web.

Las cinco extensiones maliciosas que descubrieron los investigadores de McAfee son:

  • Netflix Party – 800.000 descargas
  • Netflix Party 2 – 300.000 descargas
  • Full Page Screenshot Capture – Screenshotting – 200.000 descargas
  • FlipShope – Price Tracker Extension – 80.000 descargas
  • AutoBuy Flash Sales – 20.000 descargas

Cabe destacar que las extensiones siguen cumpliendo con la funcionalidad prometida, lo que hace más difícil que las víctimas se den cuenta de la actividad maliciosa. Aunque su uso no afecta directamente a los usuarios, suponen un riesgo para la privacidad.

Por tanto, si estás utilizando alguna de las extensiones enumeradas, se recomienda eliminarla de su navegador inmediatamente.

Cómo funcionan las cinco extensiones

Las cinco extensiones descubiertas por McAfee tienen un comportamiento similar. La extensión envía los datos de navegación a un dominio que controlan los atacantes («langhort.com»).

Los datos se envían cada vez que el usuario visita una nueva URL. La información que llega al estafador incluye la URL, el ID del usuario, la ubicación del dispositivo (país, ciudad, código postal) y una URL de referencia codificada.

Si el sitio web visitado coincide con alguna de las entradas de una lista de sitios web para los que el autor de la extensión tiene una afiliación activa, el servidor responde a B0.js con una de las dos funciones posibles.

La primera ordena al script que inserte la URL proporcionada (enlace de referencia) como un iframe en el sitio web visitado. La segunda ordena a B0.js que modifique la cookie o la sustituya por la proporcionada si la extensión cuenta con los permisos asociados para realizar esta acción.

Para eludir la detección y el análisis, y para confundir a los investigadores, algunas de las extensiones presentan un retraso de 15 días desde el momento de su instalación antes de empezar a enviar la actividad del navegador.

¿Qué ha hecho Google al respecto?

Las dos extensiones de Netflix Party han sido retiradas de la tienda, pero, en el momento de escribir este artículo, Full Page Screenshot Capture – Screenshotting y FlipShope – Price Tracker Extension aún están disponibles en la Chrome Web Store.

👉🏻 Actualización 4/9/22: Google ya ha eliminado estas dos extensiones, que hasta hace unos días seguían disponibles.

Ahora bien, el hecho de que Google las haya eliminado de la Chrome Web Store, no las elimina de los navegadores, por lo que los usuarios deben desinstalarlas manualmente.