ADVERTENCIA: La extensión de Chrome ‘The Great Suspender’, enormemente popular, contiene malware

Google el jueves eliminado el gran tirante, una popular extensión de Chrome utilizada por millones de usuarios, de su Chrome Web Store para contener malware. También tomó la medida inusual de desactivarlo de las computadoras de los usuarios.

«Esta extensión contiene malware», decía una breve notificación de Google, pero desde entonces se supo que el complemento agregó sigilosamente funciones que podrían explotarse para ejecutar código arbitrario desde un servidor remoto, incluido el seguimiento de usuarios en línea y cometer fraude publicitario.

«El antiguo mantenedor parece haber vendido la extensión a partes desconocidas, que tienen la intención maliciosa de explotar a los usuarios de esta extensión en publicidad fraudulenta, seguimiento y más», dijo Calum McConnell en una publicación de GitHub.

La extensión, que tuvo más de dos millones de instalaciones antes de ser deshabilitada, suspendería las pestañas que no están en uso, reemplazándolas con una pantalla gris en blanco hasta que se recargaran al regresar a las pestañas en cuestión.

Las señales del comportamiento turbio de la extensión habían estado dando vueltas desde noviembre, lo que llevó a Microsoft a bloquear la extensión (v7.1.8) en los navegadores Edge en noviembre pasado.

Según The Register, se dice que Dean Oemcke, el desarrollador original de la extensión, vendió la extensión en junio de 2020 a una entidad desconocida, luego de lo cual se lanzaron dos nuevas versiones directamente a los usuarios a través de Chrome Web Store (7.1.8 y 7.1. 9).

Los usuarios de la extensión pueden recuperar las pestañas usando una solución aquí o, como alternativa, también pueden usar la última versión disponible en GitHub (v7.1.6) habilitando el modo Desarrollador de Chrome.

Pero activar el modo Desarrollador también puede tener otras consecuencias, como lo reveló el investigador de seguridad Bojan Zdrnja, quien reveló un método novedoso que permite a los actores de amenazas abusar de la función de sincronización de Chrome para eludir los firewalls y establecer conexiones a servidores controlados por atacantes para la exfiltración de datos.

Zdrnja dijo que el adversario creó un complemento de seguridad malicioso que se hizo pasar por Forcepoint Endpoint Chrome Extension para Windows, que luego se instaló directamente en el navegador después de habilitar el modo Desarrollador.

«Si bien existen algunas limitaciones en el tamaño de los datos y la cantidad de solicitudes, en realidad es perfecto para los comandos de C&C (que generalmente son pequeños) o para robar datos pequeños pero confidenciales, como tokens de autenticación», dijo Zdrnja.

Pero dado que este ataque requiere acceso físico a un sistema de destino, es poco probable que Google lo resuelva.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática