Estas extensiones ordinarias robaron a miles de usuarios en Google y Mircosoft

Una investigación destapa el malware que se esconde en algunas de las extensiones más populares de Google Chrome y Microsoft Edge

Estas extensiones ordinarias robaron a miles de usuarios en Google y Mircosoft
Buscador de Google - Cordon Press

Varias extensiones de Google con la insignia de que fueron verificadas y miles de instalaciones hicieron que estas extensiones para tu navegador parecieran fiables, pero una investigación destapó el uso nefario de estas extensiones por sus creadores. El malware que fue descubierto por Koi usaba el siguiente método para robar a los usuarios de las extensiones. Primero la inyección tarde, esto significa que al principio estas extensiones funcionan como se anuncian, por ejemplo una de las extensiones se llamaba ‘Web Sound Equalizer’ y hacía exactamente lo que dice el nombre, te proporcionaba un ecualizador de sonido para los videos que esté mirando. Después de un par de meses o años funcionando de manera regular empieza el malware, lo que hacían es que cada vez que cargabas una nueva pestaña el código maligno capturaba la URL y la enviaba a un servidor C2 donde obtenían instrucciones de redirección. Esto abre la puerta a ataques como MITM y phishing, con esto iban accediendo a tu información personal para cualquier página que abras en tu navegador.

La seguridad de los usuarios de Google y de Microsoft se ha puesto en peligro y esto sucedió por un fallo de las empresas. La verificación de las extensiones por parte de Google y Microsoft, el alto número de instalaciones, las valoraciones y la visibilidad destacada fueron las razones por la cuales los usuarios confiaron en las extensiones, más de 2 millones de usuarios fueron afectados.

Koi, la empresa de seguridad que descubrió el malware

Koi es una empresa que se enfoca en la seguridad de software, en su página explican sus inicios, dicen: “Nos tomó exactamente 30 minutos desarrollar, publicar y pulir una extensión que eludió los entornos de seguridad más sofisticados y afectó a múltiples empresas multimillonarias.” Ellos tras ver la escasa seguridad que hay en la industria decidieron crear un producto que les ayude a las empresas a mejorar la seguridad, su producto fue ExtensionTotal, en unos días se convirtió en una de las herramienta de seguridad más usada en el sector. Fue después del éxito de ExtensionTotal fue cuando decidieron crear la empresa Koi.

Las extensiones malignas

Estas son las extensiones que han sido descubiertas por Koi por ser malignas y robar datos de los usuarios:

  • Color Picker, Eyedropper - Geco colorpick
  • Emoji keyboard online - copy&paste your emoji
  • Free Weather Forecast
  • Weather Video Speed Controller - Video manager
  • Unlock Discord - VPN Proxy to Unblock Discord Anywhere
  • Unblock TikTok - Seamless Access with One-Click Proxy
  • Unlock YouTube VPN
  • Dark Theme - Dark Reader for Chrome
  • Volume Max - Ultimate Sound Booster
  • Volume Booster - Increase your sound
  • Web Sound Equalizer
  • Flash Player - games emulator
  • Header Value Unlock
  • TikTok Volume Booster
  • Web Sound Equalizer
  • Flash Player

Medidas a tomar si usaste una de estas extensiones

Lo primero que uno tiene que hacer para asegurarse frente a estos softwares malignos es eliminar la extensión de su navegador. Después de esto lo más importante es hacer un escaneo al completo del ordenador del usuario con un antivirus para verificar si las extensiones instalaron otro tipo de malware como un keylogger o troyano. Para evitar que en un futuro esto vuelva a ocurrir es bueno hacer un chequeo periódico de las extensiones que usas para ver si hay algún tipo uso maligno. Si eres un usuario y crees que tus datos fueron robados con este malware también tendrías que hacer un chequeo de tus datos para ver si aparecen en una página donde venden información, la mayoría de antivirus ofrecen algún tipo de herramienta para facilitar esta búsqueda.