32 millones de descargas de extensiones para el navegador Google Chrome formaban parte de una campaña organizada de difusión de spyware, según han explicado a Reuters investigadores de la empresa de ciberseguridad Awake Security.
Según Gary Colomb, cofundador de esta última, las cifras indican que ha sido la mayor campaña de este tipo lanzada hasta ahora contra Google Chrome, pese a que a comienzos de este año se detectó otra que afectaba a un número mucho mayor de extensiones (500, frente a las 70 retiradas ahora).
Lo lograron usando extensiones que, en su mayor parte, prometían al usuario advertirle de que entraba en sitios web cuestionables, o bien que proporcionaban herramientas de conversión de formato de archivo. Pero en realidad su función era la de filtrar el historial de navegación y datos de login.
La no detección de extensiones maliciosas, un problema para Google
Según Reuters, la compañía no explicó por qué, pese a sus promesas anteriores de supervisar más de cerca las extensiones de Chrome, este ataque no pudo ser detectado. Según Scott Westover, de Google,
"Practicamos regularmente barridos para encontrar extensiones que usen esta clase de técnicas, códigos y comportamientos similares.
Cuando se nos alerta de que extensiones de la Chrome Web Store violan nuestras políticas no sólo tomamos medidas: usamos esos incidentes como material de capacitación para mejorar nuestros análisis tanto automatizados como manuales".
Awake Security avisó hace un mes a Google de este problema, tras lo cual procedieron a suprimir de su Chrome Web Store las extensiones maliciosas, todas ellas diseñadas específicamente para sortear la detección de las compañías antivirus.
"Los atacantes usaron métodos extremadamente simples para ocultar miles de dominios maliciosos [relacionados con la difusión de este malware]". En total, 15.000 dominios adquiridos a un pequeño registrador en Israel, Galcomm.
Awake reprocha a este último que dicha operación masiva de compra de dominios no les hiciera sospechar del problema que se estaba creando. Ellos se limitan a negar ninguna relación con esta actividad sospechosa, un extremo respaldado por el historial (inexistente) de acusaciones de difusión de malware contra Galcomm, según la ICANN.
En cualquier caso, aún no está claro quién ha estado detrás de la campaña: los desarrolladores de las extensiones maliciosas proporcionaron información de contacto falsa cuando las remitieron a Google.
Ver 1 comentarios