Se ha reportado un nuevo aviso de seguridad sobre la distribución de múltiples extensiones de Google Chrome maliciosas a través de Chrome Web Store, la tienda oficial de extensiones del navegador de Chrome, que permitirían potencialmente a un atacante realizar inyección de código arbitrario en los sitios web que visite la víctima, obtener acceso a información confidencial, entre otros.
Si bien existen múltiples extensiones que se vieron afectadas por este código malicioso, los primeros reportes sobre este tipo de actividad maliciosa se relacionan con la extensión PDF Toolbox que cuenta con al menos dos millones de descargas, la misma es utilizada para la conversión de documentos Office y realizar otras operaciones sencillas con archivos PDF. Sin embargo, se descubrió una funcionalidad adicional que desencadenaba en el acceso al sitio serasearchtop[.]com, desde donde inyectaba código arbitrario en todas las páginas visualizadas por el usuario. Tras dicho descubrimiento, se realizó una búsqueda de otras extensiones dentro de Chrome Web Store, y fueron encontradas otras extensiones que también contaban con una funcionalidad similar.
Dichas extensiones existen en Chrome Web Store desde por los menos 2021, y entre las reseñas de parte de los usuarios, se encontraban quejas de usuarios que habían advertido que las extensiones reemplazaban las direcciones en los resultados de búsqueda por enlaces de adware.
El uso de extensiones no verificadas podría implicar un riesgo potencial para el usuario final, principalmente el relacionado con el nivel de acceso a los datos de los usuarios, ya que, para funcionar correctamente, estas extensiones solicitan al usuario de su consentimiento para leer y escribir datos en todos los sitios web. Algunas acciones potencialmente riesgosas son:
- Rastrear todas las actividades de los usuarios para recopilar y vender información sobre ellos.
- Robar datos de tarjetas y credenciales de la cuenta.
- Insertar anuncios en páginas web.
- Sustituir enlaces en los resultados de búsqueda.
- Reemplazar la página de inicio del navegador por un enlace publicitario.
- Teniendo en cuenta que la funcionalidad maliciosa de un complemento puede evolucionar con el tiempo, de acuerdo con los objetivos de sus propietarios.
Cómo funciona
Se ha logrado documentar cómo funciona el código malicioso en dos ocasiones, se ha encontrado que existen dos variantes que son similares:
- La primera variante se hace pasar por una extensión web para el navegador Mozilla llamada API Polyfill. Manipula la marca de tiempo para evitar que las descargas se realicen durante las primeras 24 horas y utiliza dirección de descarga de archivo de configuración URLs con estructura similar a la siguiente: https://serasearchtop.com/cfg/<Extension_ID>/polyfill.jsonlocalStorage.polyfill
- La segunda variante se hace pasar por la biblioteca Day.js. En este caso, esta variante descarga datos y almacena una marca de tiempo manipulada en direcciones URL con estructura similar a la siguiente: https://serasearchtop.com/cfg/<Extension_ID> /locale.jsonlocalStorage.locale
Ambas variantes mantienen el código del módulo original dentro de la extensión, mientras que el código inyectado se añade por encima. La variante WebExtension Polyfill parece ser la más antigua según su primera aparición, las extensiones que la utilizan normalmente tuvieron su última versión a finales de 2021 o principios de 2022. Mientras que las extensiones que utilizan la variante Day.js son más recientes según su descubrimiento en otras extensiones más recientes. Sin embargo, la lógica de la extensión sigue siendo exactamente la misma. Su propósito es hacer dos llamadas a funciones más específicas. Permitiendo que los atacantes pudieran inyectar algún código JavaScript arbitrario en cada sitio web que sea visitado.
Algunas extensiones afectadas son:
- Autoskip for Youtube.
- Soundboost.
- Crystal Adblock.
- Brisk VPN.
- PDF Toolbox.
- Maxi Refresher
- Quick Translation
Puede acceder al listado completo de extensiones afectadas aquí.
Solución y prevención:
Se recomienda verificar si algunas de estas extensiones se encuentran instaladas en el navegador Google Chrome, y en caso de ser así, eliminarlas inmediatamente.
Referencias: